AWS CLI利用時のMFA認証で少しだけ楽をする
AWSを愛する皆さま、こんにちは。 FF14のログイン時間がめっきり減ってしまったコンサルティング部の西野(@xiye_gen)です。
MFA保護下でもAWS CLIを使える。しかし……
MFAによる保護を受けたIAMユーザーのクレデンシャルでAWS CLIを使用するためには、下記の手順に従い一時的なクレデンシャルを取得する必要があります。
AWS CLI 経由でAWSリソースへのアクセスを認証するには、どのようにMFAトークンを使用したらよいですか?
しかしながら、当該手順に従って出力されたクレデンシャルから必要な部分をコピーし環境変数にexportする作業は めんどくさい です。 MFAによる保護の恩恵を受けつつ少し楽をしましょう。
私の方法
下記の一連の作業を実行してくれるスクリプトを使用します。
- MFAトークンコードの入力を受け付ける
- MFAトークンコードをもとにGetSessionToken APIから一時クレデンシャルを取得する
- 一時クレデンシャルを含んだexportコマンド文字列を生成する
前提条件
- 実行環境がMacもしくはLinuxであること *1
- Python3およびAWS SDK for Python(Boto3)の実行環境があること
~/.aws/credentials
のデフォルトプロファイルにIAMユーザーのクレデンシャル(アクセスキーおよびシークレットアクセスキー)が設定されていること *2
スクリプト
本体
import textwrap import boto3 DURATION_SECONDS = 43200 SERIAL_NUMBER = '<MFA ARN>' def generate_export_commands(token_code): client = boto3.client('sts') response = client.get_session_token( DurationSeconds=DURATION_SECONDS, SerialNumber=SERIAL_NUMBER, TokenCode=token_code ) access_key = response['Credentials']['AccessKeyId'] secret_access_key = response['Credentials']['SecretAccessKey'] session_token = response['Credentials']['SessionToken'] export_commands = textwrap.dedent('''\ export AWS_ACCESS_KEY_ID={} export AWS_SECRET_ACCESS_KEY={} export AWS_SESSION_TOKEN={} ''').format(access_key, secret_access_key, session_token) return export_commands token_code = input('Enter your token code: ') export_commands = generate_export_commands(token_code) print(export_commands)
使用する際は下記の変数の値をあらかじめ書き換えてください。
変数 | 説明 |
---|---|
DURATION_SECONDS | 一時クレデンシャルの有効期間を指定します。900秒から129,600秒の間で設定可能です。 |
SERIAL_NUMBER | MFAデバイスのARNを指定します。 |
MFA ARNの確認方法
Management Console上のIAM→ユーザー→認証情報タブで確認できます。
実行してみる
$ python generate_export_commands.py Enter your token code: 123456 #6桁のトークンコードを入力する export AWS_ACCESS_KEY_ID=XXXXXXXXXXXXXXXXXXXX export AWS_SECRET_ACCESS_KEY=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX export AWS_SESSION_TOKEN=FQoGZXIvYXdz(長いので中略)+InEhDhKL3w4usF
無事exportコマンドが生成されました。
環境変数へエクスポートしてみる
スクリプトにより出力された3行のexportコマンドをコピー&ペースト&実行します。
$ export AWS_ACCESS_KEY_ID=XXXXXXXXXXXXXXXXXXXX $ export AWS_SECRET_ACCESS_KEY=XXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXXX $ export AWS_SESSION_TOKEN=FQoGZXIvYXdz(長いので中略)+InEhDhKL3w4usF
テストもしてみる
AWS CLIで任意のコマンドを実行します。
$ aws s3 ls 2019-09-03 15:45:47 XXXXXXXXXXXXXXXX #S3バケットの名称
一時クレデンシャルがしっかり働いてくれているようです。
※認証されていない場合下記のように出力されます。
$ aws s3 ls An error occurred (AccessDenied) when calling the ListBuckets operation: Access Denied
終わりに
今回は前職時代によく使っていたスクリプトを書き直してみました。 スクリプトを使った自動化はとても楽しいですね。(いまだ闇を見ていない者の感想)
このブログがほんの少しでも世界を良くできれば嬉しいです。 コンサルティング部の西野(@xiye_gen)がお送りしました。