AWS CLI のセットアップ

ピン留めされたアイテム

nabee

AWS CLI のインストール

nabee

macOS の GUI installer でインストールした
アップデートもインストールと同じ手順

$ which aws
/usr/local/bin/aws

$ aws --version
aws-cli/2.17.42 Python/3.11.9 Darwin/22.1.0 exe/x86_64

$ aws --version
aws-cli/2.22.17 Python/3.12.6 Darwin/22.1.0 exe/x86_64

デフォルトだと /usr/local/aws-cli にインストールされて、symlink が /usr/local/bin/aws に作られるらしい

nabee

 前提[推奨] CLI から AWS に接続する際に root アカウントを使わないこと。最小権限のIAMユーザーを作り、それを使うこと。
[推奨] IAM Identity Center を使うこと
IAM Identity Center の始め方
https://docs.aws.amazon.com/singlesignon/latest/userguide/getting-started.html

とりあえず推奨されてることをやった。

nabee

AWS CLI で IAM Identity Center 認証を設定する

Identity Center 上でユーザーを作成とAWSアカウントへの割り当てが完了すると、アクセスポータルの権限セット(permission set)名の隣にCLIからのアクセスに必要な情報が表示されるのでそれを使って CLI をセットアップする。

aws configure sso

SSO session name (Recommended): {任意の名前}
SSO start URL [None]: {アクセスポータルから取ってくる}
SSO region [None]: {アクセスポータルから取ってくる}
SSO registration scopes [sso:account:access]: {何も入力しない}

# 二要素認証設定してたので、ブラウザ上でコードを入力

CLI default client Region [{SSO region}]: ap-northeast-1
CLI default output format [json]:
CLI profile name [{任意の名前}]:

nabee

aws configure sso-session で ~/.aws/config sso-session セクション(SSO start URL や SSO region) だけを変更できるらしい

nabee

 ログインaws sso login --profile {プロファイル名}
https://awscli.amazonaws.com/v2/documentation/api/latest/reference/sso/login.html

https://docs.aws.amazon.com/cli/latest/userguide/cli-configure-sso.html#cli-configure-sso-login

nabee

設定ファイル:

nabee

プロファイルにIAMロールを紐づける方法:

nabee

user1 のクレデンシャルを使って admin-role に assume role する。

[profile admin]
role_arn = arn:aws:iam::123456789012:role/admin-role
source_profile = user1