<p>本記事は、2022年12月9日に公開済みの記事を移行して再掲載したものです。</p>
<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p><a href="https://qiita.com/advent-calendar/2022/fez" target="_blank" rel="nofollow noopener noreferrer">Qiita - フェズ Advent Calendar 2022</a> の９日目。サーバーサイド担当の中川です。</p>
<p>最近、急に寒くなって布団の吸引力がやばいです。</p>
<p>今回は <strong>AWS CLI で SSO</strong> する時の <code>aws configure sso</code> の使い方と、個人的に「おっ」と思った割りとどーでもいい(しかし、もしかしたらお役立ちかもしれない) Tipsを書いていこうと思います。</p>
<h2 id="%E6%89%8B%E5%85%83%E3%81%AE%E7%92%B0%E5%A2%83">
<a class="header-anchor-link" href="#%E6%89%8B%E5%85%83%E3%81%AE%E7%92%B0%E5%A2%83" aria-hidden="true"></a> 手元の環境</h2>
<ul>
<li>OS： Windows 11 (WSL2 + Ubuntu)
<ul>
<li>※手がThinkpadに最適化されてしまっている為、Macも使いますが、メインはWin（聞かれてない）</li>
</ul>
</li>
<li>Tool： aws-cli/2.9.4</li>
</ul>
<h1 id="sso%E3%81%A7%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B">
<a class="header-anchor-link" href="#sso%E3%81%A7%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3%E3%81%99%E3%82%8B" aria-hidden="true"></a> SSOでログインする</h1>
<p>AWS へログインするにあたり Google Workspaces 等と連携して SSO する環境が増えていると思います。</p>
<p>アカウント管理が簡潔になるので非常に便利なのですが、ターミナル利用時は、基本的に一度ブラウザを経由してログインセッション(あるいはクレデンシャル)を取得する事になるかと思います。</p>
<h2 id="web%E3%82%B3%E3%83%B3%E3%82%BD%E3%83%BC%E3%83%AB%E3%81%AB%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3">
<a class="header-anchor-link" href="#web%E3%82%B3%E3%83%B3%E3%82%BD%E3%83%BC%E3%83%AB%E3%81%AB%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3" aria-hidden="true"></a> Webコンソールにログイン</h2>
<p>まずは普通にWebコンソールにログインする場合、<br>
<code>https://XXXXX.awsapps.com/start</code> な感じのURLからログインしてして、</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/e99a70cda5de-20240409.png" loading="lazy" class="md-img"></p>
<p>対象のアカウント＋ロールを探し、「Management console」のリンクからログインするかと思います。</p>
<h2 id="aws-cli-%E3%81%A7%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3">
<a class="header-anchor-link" href="#aws-cli-%E3%81%A7%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3" aria-hidden="true"></a> AWS CLI でログイン</h2>
<p>問題は CLI 側です。CLI であっても、SSOを使う場合はブラウザを経由する必要があり、例えば、上記URLの「Command line or programmatic access」から、下記のような CLI 用の環境変数を確認する事ができます。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/383c87cb41c4-20240409.png" loading="lazy" class="md-img"></p>
<p>この情報を元に <code>~/.aws/credentials</code> を編集すれば aws コマンドを使えるようになりますが、ブラウザ開いて環境変数確認してコピーしてターミナルでクレデンシャル開いてペーストして…という作業を毎回するのも、いささか面倒です。</p>
<h2 id="aws-cli-%E3%81%AE-sso-%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#aws-cli-%E3%81%AE-sso-%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> AWS CLI の SSO 設定</h2>
<p>そこで登場するのが AWS CLI の SSO 設定。<br>
以下のコマンドで今後の作業が色々と簡略化できます。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ aws configure sso
</code></pre></div><p>いくつか設定項目がありますが、例えば、以下のように設定します。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/a966bcbc0d04-20240409.png" loading="lazy" class="md-img"></p>
<ul>
<li>SSO session name：
<ul>
<li>最近追加された項目のようですが、セッション名を自由に付けられるようです。どういった用途なのかドキュメントを見つけることが出来なかったのですが、直前に作ったセッション名と同じセッション名を使うと、<strong>ブラウザを起動してのSSOをスキップでき</strong>、アカウントとロールを選択し直すところから作業できたので、スイッチロールなんかをよくするケースなどで大活躍なのかもしれません。</li>
<li>アカウントやロール、スタートURLを変えたりしない場合は、テキトーに名前を付けて、同じ名前を使いまわせば良いのかもしれません。</li>
<li>ちなみに、この項目を未入力にすると、configファイルの生成が旧来のフォーマットになります。※ <code>~/.aws/config</code> への出力内容が変わるので良かったら試してみてください</li>
</ul>
</li>
<li>SSO start URL：
<ul>
<li>AWS アクセスポータルの URL。SSOログインする時のURLです。</li>
</ul>
</li>
<li>SSO region：
<ul>
<li>SSO用のリージョン。東京リージョンであれば <code>ap-northeast-1</code> になります。</li>
</ul>
</li>
<li>SSO registration scopes：
<ul>
<li>こちらもドキュメントがすぐに見当たらなかったので、デフォルトの値 ”sso:account:access” のままにしてしまっていますが、現状、特に困っていません。<br>
ただ、<a href="https://www.reddit.com/r/aws/comments/z9u42y/new_aws_cli_configure_sso_has_new_registration/" target="_blank" rel="nofollow noopener noreferrer">こちらのRedditの投稿</a> を見た感じ Terraform 周りで不便が生じているようで、公式にお問合せしている最中のようです。</li>
</ul>
</li>
<li>CLI default client Region：
<ul>
<li>この辺は適宜。東京リージョンであれば <code>ap-northeast-1</code> 。</li>
</ul>
</li>
<li>CLI default output format：
<ul>
<li>この辺は適宜。jsonにしちゃってます。</li>
</ul>
</li>
<li>CLI profile name：
<ul>
<li>AWS CLI を利用する際に必要となるプロフィール名。指定しなければ、 <code>&lt;SSO Role Name&gt;-&lt;SSO Account ID&gt;</code> な感じで命名されます。</li>
<li>このプロフィール名は、AWS CLI でコマンド打つ時に都度必要になるので、頻繁にコマンド操作する時は、ちょっと工夫が必要になってきます。その辺は後述します。</li>
</ul>
</li>
</ul>
<h2 id="aws-cli%E3%81%A7%E5%BC%95%E3%81%8D%E7%B6%9A%E3%81%8D%E3%80%81sso%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3">
<a class="header-anchor-link" href="#aws-cli%E3%81%A7%E5%BC%95%E3%81%8D%E7%B6%9A%E3%81%8D%E3%80%81sso%E3%83%AD%E3%82%B0%E3%82%A4%E3%83%B3" aria-hidden="true"></a> AWS CLIで引き続き、SSOログイン</h2>
<p>設定完了後、しばらくは作業が出来ますが、時間が経つとセッションの有効期限が切れるので、再度SSOログインが必要になります。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ aws sso login <span class="token parameter variable">--profile</span> prof-x
</code></pre></div><p><code>--profile</code> でプロフィール名を指定して再度ログインする事で、SSO設定時に指定した値(ロール、アカウント、リージョン等)は引き継がれた状態で作業が継続できます。</p>
<h1 id="tips%E7%9A%84%E3%81%AA%E4%BD%95%E3%81%8B">
<a class="header-anchor-link" href="#tips%E7%9A%84%E3%81%AA%E4%BD%95%E3%81%8B" aria-hidden="true"></a> Tips的な何か</h1>
<h2 id="%E3%83%97%E3%83%AD%E3%83%95%E3%82%A3%E3%83%BC%E3%83%AB%E5%90%8D%E3%81%AE%E6%8C%87%E5%AE%9A">
<a class="header-anchor-link" href="#%E3%83%97%E3%83%AD%E3%83%95%E3%82%A3%E3%83%BC%E3%83%AB%E5%90%8D%E3%81%AE%E6%8C%87%E5%AE%9A" aria-hidden="true"></a> プロフィール名の指定</h2>
<p>SSOで無事ログインできましたが、AWSコマンド打つたびに <code>--profile</code> でプロフィール名を手打ちするのも手間なので、「環境変数に入れる」「Bash aliasにする」などの対応をする事になるかと思います。</p>
<ul>
<li>
<p><strong>環境変数 <code>[AWS_PROFILE](https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-profiles.html)</code> を設定する</strong></p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_PROFILE</span><span class="token operator">=</span>prof-x
</code></pre></div>
<p>こうやって <code>AWS_PROFILE</code> にSSO時に定義したプロファイル名を指定すれば、以後 <code>--profile</code> オプションは不要です。<br>
切り替えることがほぼ無ければ <code>.bashrc</code> 等に書いてしまっても良いですし、ディレクトリ毎に環境変数が切り替えられる <code>direnv</code> なんかと組み合わせるのも良いかもです。</p>
</li>
<li>
<p><strong>Bash alias にする</strong><br>
<code>~/.bashrc</code></p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"><span class="token builtin class-name">alias</span> aws-x<span class="token operator">=</span><span class="token string">"aws --profile prof-x"</span>
</code></pre></div>
<p>みたいなBash aliasを <code>~/.bashrc</code> 辺りに仕込んでおけば、</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ aws-x s3 <span class="token function">ls</span>
</code></pre></div>
<p>な感じで、 <code>--profile</code> 指定なしでコマンドが叩けます。</p>
<p>ただまぁ、これだと <code>AWS_PROFILE</code> の方がどう考えても筋が良いので、</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash"><span class="token builtin class-name">alias</span> aws-login<span class="token operator">=</span><span class="token string">"aws sso login --profile prof-x"</span>
<span class="token builtin class-name">alias</span> aws-s3<span class="token operator">=</span><span class="token string">"aws s3 --profile prof-x"</span>
</code></pre></div>
<p>みたいによく使うコマンドと1セットにするのが良いかもしれません。</p>
</li>
<li>
<p><strong>プロフィール名を <code>default</code> にする</strong></p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/ee7497029c97-20240409.png" loading="lazy" class="md-img"></p>
<p>複数のプロフィールを切り替えて使うワケでもない場合、これが一番手っ取り早く <code>--profile hogehoge</code> な指定が不要にできます。</p>
<p>もしかすると、なんとなく違和感を覚えるやり方かもしれませんが、 <code>.aws/config</code> に書き出される設定も <code>[profile default]</code> ではなく <code>[default]</code> として書き出されるので、そういう使い方も想定されているものだと思われます。<br>
※名前ではなく設定として出力されるように組まれている</p>
</li>
</ul>
<h2 id="%E3%82%BF%E3%83%96%E8%A3%9C%E5%AE%8C%E3%81%97%E3%81%BE%E3%81%8F%E3%82%8B">
<a class="header-anchor-link" href="#%E3%82%BF%E3%83%96%E8%A3%9C%E5%AE%8C%E3%81%97%E3%81%BE%E3%81%8F%E3%82%8B" aria-hidden="true"></a> タブ補完しまくる</h2>
<h3 id="sso%E8%A8%AD%E5%AE%9A%E6%99%82%E3%81%AE%E3%82%BF%E3%83%96%E8%A3%9C%E5%AE%8C">
<a class="header-anchor-link" href="#sso%E8%A8%AD%E5%AE%9A%E6%99%82%E3%81%AE%E3%82%BF%E3%83%96%E8%A3%9C%E5%AE%8C" aria-hidden="true"></a> SSO設定時のタブ補完</h3>
<p>SSO設定をする際も、入力項目によってはタブ補完が可能な項目があります。タブキー押しまくりましょう。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/7d4513eb5561-20240409.png" loading="lazy" class="md-img"></p>
<p>命名済みのセッションがあれば、その内容と共に候補が出ます。タブキーの連打か、矢印の上下で選択項目を切り替えられます。確定は Enter。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/c09456ee39b5-20240409.png" loading="lazy" class="md-img"></p>
<p>Start URL も <code>~/.aws/config</code> に設定値があれば、候補に出ます。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/3b46a7d9961d-20240409.png" loading="lazy" class="md-img"></p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/f7685b73b16e-20240409.png" loading="lazy" class="md-img"></p>
<p>SSO region や output format は、設定なしでも候補が出る</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/2a76521417eb-20240409.png" loading="lazy" class="md-img"></p>
<p>client Region はなぜか、どうやっても補完してくれない・・・</p>
<h3 id="aws-cli-%E8%87%AA%E4%BD%93%E3%81%AE%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E8%A3%9C%E5%AE%8C">
<a class="header-anchor-link" href="#aws-cli-%E8%87%AA%E4%BD%93%E3%81%AE%E3%82%B3%E3%83%9E%E3%83%B3%E3%83%89%E8%A3%9C%E5%AE%8C" aria-hidden="true"></a> AWS CLI 自体のコマンド補完</h3>
<p>もちろん AWS CLI 自体のコマンド補完も用意されていて、サクッと導入できます。</p>
<p><a href="https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-completion.html" target="_blank" rel="nofollow noopener noreferrer"><strong>コマンド補完 - AWS Command Line Interface</strong></a></p>
<p>導入方法（例）</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ complete <span class="token parameter variable">-C</span> <span class="token string">'/usr/local/bin/aws_completer'</span> aws
</code></pre></div><p>使用例</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ aws s<span class="token operator">&lt;</span>TAB<span class="token operator">&gt;</span>
s3                              schemas                         shield                          sso
s3api                           sdb                             signer                          sso-admin
<span class="token punctuation">..</span>snip<span class="token punctuation">..</span>
</code></pre></div><h3 id="%E7%92%B0%E5%A2%83%E5%A4%89%E6%95%B0-aws_cli_auto_prompt">
<a class="header-anchor-link" href="#%E7%92%B0%E5%A2%83%E5%A4%89%E6%95%B0-aws_cli_auto_prompt" aria-hidden="true"></a> 環境変数 AWS_CLI_AUTO_PROMPT</h3>
<p><a href="https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-envvars.html" target="_blank" rel="nofollow noopener noreferrer"><strong>AWS CLI バージョン 2 の自動プロンプト</strong></a></p>
<p>この環境変数は強力で、awsコマンドを叩くと、AWS CLI ver.2専用の自動プロンプトに入ります。</p>
<p><img src="https://storage.googleapis.com/zenn-user-upload/ed3d30c6b0fd-20240409.png" loading="lazy" class="md-img"></p>
<p>この自動プロンプトを導入する際の環境変数の値は、以下の2つで</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_CLI_AUTO_PROMPT</span><span class="token operator">=</span>on
    or
$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_CLI_AUTO_PROMPT</span><span class="token operator">=</span>on-partial
</code></pre></div><p><code>on</code> にすると必ず自動プロンプトに入り、 <code>on-partial</code> にすると必要に応じて自動プロンプトに入ります。</p>
<div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_CLI_AUTO_PROMPT</span><span class="token operator">=</span>on
$ 
$ aws s3 <span class="token function">ls</span>
<span class="token operator">&gt;</span> aws s3 <span class="token function">ls</span>
　↑
コマンドが成立していてもプロンプトに入るため、プロンプト内で再度Enterする必要がある
</code></pre></div><div class="code-block-container"><pre class="language-bash"><code class="language-bash">$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_CLI_AUTO_PROMPT</span><span class="token operator">=</span>on-partial
$ 
$ aws s3 <span class="token function">ls</span>
<span class="token number">2020</span>-01-12 <span class="token number">10</span>:10:00 logs.hogehoge
<span class="token punctuation">..</span>snip<span class="token punctuation">..</span>
$
　↑
コマンドが成立していればプロンプトには入らない
</code></pre></div><p>試してイマイチだったら <code>unset AWS_CLI_AUTO_PROMPT</code> で解除。</p>
<h1 id="%E3%81%BE%E3%81%A8%E3%82%81">
<a class="header-anchor-link" href="#%E3%81%BE%E3%81%A8%E3%82%81" aria-hidden="true"></a> まとめ</h1>
<p>以上、AWS CLI の SSO 設定例と、知ってるとちょっと便利かもしれないTipsでした。</p>
<p>セッション名やScopeなど、まだよく分かっていない点も多いので、誤り等ありましたらどこかでご指摘頂けますと幸いです。</p>
<p>あと、いつからか <a href="https://aws.amazon.com/jp/iam/identity-center/" target="_blank" rel="nofollow noopener noreferrer">AWS IAM Identity Center</a> に名称が変わったようですが、たぶんしばらくは AWS の SSO って言っちゃう気がします。</p>


AWS CLIのSSO設定

Discussion