<h1 id="%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%AF%E3%81%98%E3%82%81%E3%81%AB" aria-hidden="true"></a> はじめに</h1>
<p>AWS CLI を使用する場合、接続先の AWS アカウントに対して認証を行う必要があります。この認証方式には以下のような条件により複数のパターンが存在しており、覚えるのが少しめんどうです。</p>
<ul>
<li>MFA の要否</li>
<li>スイッチロールの要否</li>
<li>IAM ユーザー Or AWS IAM Identity Center（旧 AWS SSO）を使用した SSO ユーザー</li>
</ul>
<p>毎回設定方法を調べるのがツラくなってきたので、よく使用するパターンをまとめておこうと思います。なお、MFA を有効化していない環境はさすがにもう見なくなったので省略します。まだ MFA を有効化していない方はいますぐ設定しましょう👍</p>
<h1 id="%E8%AA%8D%E8%A8%BC%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3%E5%88%A5-aws-cli-%E3%83%97%E3%83%AD%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95">
<a class="header-anchor-link" href="#%E8%AA%8D%E8%A8%BC%E3%83%91%E3%82%BF%E3%83%BC%E3%83%B3%E5%88%A5-aws-cli-%E3%83%97%E3%83%AD%E3%83%95%E3%82%A1%E3%82%A4%E3%83%AB%E8%A8%AD%E5%AE%9A%E6%96%B9%E6%B3%95" aria-hidden="true"></a> 認証パターン別 AWS CLI プロファイル設定方法</h1>
<p>比較的よく採用される認証パターンについて、AWS CLI の名前付きプロファイル設定とコマンド実行のサンプルをまじえて紹介します。</p>
<h2 id="iam-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC-%2B-mfa">
<a class="header-anchor-link" href="#iam-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC-%2B-mfa" aria-hidden="true"></a> IAM ユーザー + MFA</h2>
<p>MFA を強制する IAM ポリシーをアタッチされた IAM ユーザーに直接ログインするパターンです。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--2BmnYzVI--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/7a6ac9cabf87655ea6e32d75.png%3Fsha%3Da6bbed12c3b1a6fc27b91d7e65c9efa1fa4cd2a1" alt loading="lazy" class="md-img"></p>
<p>実は AWS CLI はこのパターンをきちんとサポートしていません。このパターンで AWS CLI を使用する場合は、一時クレデンシャルを払い出す必要があります。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__606e6bb2ac02f" src="https://embed.zenn.studio/card#zenn-embedded__606e6bb2ac02f" data-content="https%3A%2F%2Faws.amazon.com%2Fjp%2Fpremiumsupport%2Fknowledge-center%2Fauthenticate-mfa-cli%2F" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://aws.amazon.com/jp/premiumsupport/knowledge-center/authenticate-mfa-cli/" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://aws.amazon.com/jp/premiumsupport/knowledge-center/authenticate-mfa-cli/</a></p>
<p>一時クレデンシャルの有効期限は最長で 36 時間です（デフォルトは 12 時間）。そのため、だいたい 1 日のはじめに「一時クレデンシャル払出し」→「環境変数などに設定」を行う必要があります。AWS アカウントが複数あればその数だけこの作業が必要です。</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">~/.aws/config</span></div>
<pre class="language-textile"><code class="language-textile"><span class="token phrase">[profile profile1]
region = ap-northeast-1
output = json
</span></code></pre>
</div><div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">~/.aws/credentials</span></div>
<pre class="language-textile"><code class="language-textile"><span class="token phrase">[profile1]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
</span></code></pre>
</div><div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ aws sts get-session-token <span class="token parameter variable">--profile</span> profile1 --serial-number arn:aws:iam::123456789012:mfa/devicename --token-code <span class="token number">123456</span>
<span class="token punctuation">{</span>
    <span class="token string">"Credentials"</span><span class="token builtin class-name">:</span> <span class="token punctuation">{</span>
        <span class="token string">"AccessKeyId"</span><span class="token builtin class-name">:</span> <span class="token string">"AKIAIOSFODNN7EXAMPLE"</span>,
        <span class="token string">"SecretAccessKey"</span><span class="token builtin class-name">:</span> <span class="token string">"wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY"</span>,
        <span class="token string">"SessionToken"</span><span class="token builtin class-name">:</span> <span class="token string">"AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE"</span>,
        <span class="token string">"Expiration"</span><span class="token builtin class-name">:</span> <span class="token string">"2020-05-19T18:06:10+00:00"</span>
    <span class="token punctuation">}</span>
<span class="token punctuation">}</span>
$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_ACCESS_KEY_ID</span><span class="token operator">=</span>AKIAIOSFODNN7EXAMPLE
$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_SECRET_ACCESS_KEY</span><span class="token operator">=</span>wJalrXUtnFEMI/K7MDENG/bPxRfiCYzEXAMPLEKEY
$ <span class="token builtin class-name">export</span> <span class="token assign-left variable">AWS_SESSION_TOKEN</span><span class="token operator">=</span>AQoEXAMPLEH4aoAH0gNCAPyJxz4BlCFFxWNE1OPTgk5TthT+FvwqnKwRcOIfrRh3c/LTo6UDdyJwOOvEVPvLXCrrrUtdnniCEXAMPLE/IvU1dYUg2RVAJBanLiHb4IgRmpRV3zrkuWJOgQs8IZZaIv2BXIa2R4OlgkBN9bkUDNCJiBeb/AXlzBBko7b15fjrBs2+cTQtpZ3CYWFXG8C5zqx37wnOE49mRl/+OtkIKGO7fAE
</code></pre></div><p>毎回一時クレデンシャルを設定するのはめんどうくさいので、多くの人が OSS に頼ったりスクリプトを作成するなどして自動化を試みているようです。<br>
ちなみに個人的におすすめのツールは <a href="https://github.com/boltops-tools/aws-mfa-secure" target="_blank" rel="nofollow noopener noreferrer">boltops-tools / aws-mfa-secure</a> です。非常によくできたツールですのでぜひ使ってみてください。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__f0828f9dbc728" src="https://embed.zenn.studio/card#zenn-embedded__f0828f9dbc728" data-content="https%3A%2F%2Fgithub.com%2Fboltops-tools%2Faws-mfa-secure" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/boltops-tools/aws-mfa-secure" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/boltops-tools/aws-mfa-secure</a></p>
<h2 id="iam-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC-%2B-mfa-%2B-%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%83%AD%E3%83%BC%E3%83%AB">
<a class="header-anchor-link" href="#iam-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC-%2B-mfa-%2B-%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%83%AD%E3%83%BC%E3%83%AB" aria-hidden="true"></a> IAM ユーザー + MFA + スイッチロール</h2>
<p>IAM ユーザーにログインした後、スイッチロールすることで必要な権限を取得するパターンです。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--GMBV_nW9--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/b5b8c465315cff01143e3654.png%3Fsha%3D193f30fe12d4a983cd6122efaad066b699a0d37f" alt loading="lazy" class="md-img"></p>
<p>このパターンでは、ログインする IAM ユーザーとログイン後にスイッチするロールのそれぞれに対して名前付きプロファイルを作成します。スイッチロール用のプロファイルには <code>source_profile</code> を設定し、ロールを引き受ける IAM ユーザー用のプロファイルを指定します。<br>
また、このパターンは MFA に対応しています。<code>mfa_serial</code> に MFA デバイスの ARN を指定しておくと、コマンド実行時に OTP を要求されます。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__e84d5cf143e12" src="https://embed.zenn.studio/card#zenn-embedded__e84d5cf143e12" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2Fcli%2Flatest%2Fuserguide%2Fcli-configure-role.html%23cli-configure-role-mfa" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-role.html#cli-configure-role-mfa" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-role.html#cli-configure-role-mfa</a></p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">~/.aws/config</span></div>
<pre class="language-textile"><code class="language-textile"><span class="token phrase">[profile profile1]
source_profile = profile2
mfa_serial = arn:aws:iam::123456789012:mfa/devicename
role_arn= arn:aws:iam::123456789012:role/rolename</span>

<span class="token phrase">[profile profile2]
region = ap-northeast-1
output = json
</span></code></pre>
</div><div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">~/.aws/credentials</span></div>
<pre class="language-textile"><code class="language-textile"><span class="token phrase">[profile2]
aws_access_key_id = AKIAIOSFODNN7EXAMPLE
aws_secret_access_key = wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
</span></code></pre>
</div><div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ aws iam list-users <span class="token parameter variable">--profile</span> profile1
Enter MFA code <span class="token keyword">for</span> arn:aws:iam::123456789012:mfa/devicename: <span class="token number">123456</span>
<span class="token punctuation">{</span>
    <span class="token string">"Users"</span><span class="token builtin class-name">:</span> <span class="token punctuation">[</span>
        <span class="token punctuation">{</span>
            …
</code></pre></div><h2 id="sso-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC">
<a class="header-anchor-link" href="#sso-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC" aria-hidden="true"></a> SSO ユーザー</h2>
<p>AWS IAM Identity Center で複数の AWS アカウントに対するアクセス権限を一元的に管理するパターンです。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--L-nmEmKO--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/f5cc2be562eccd7708855916.png%3Fsha%3Dff19a2d68eb00b159a881dc76f92e08834787e9c" alt loading="lazy" class="md-img"></p>
<p>AWS IAM Identity Center を使用する場合はログインプロセスが少し面倒です。以下の流れで行います。</p>
<ol>
<li>名前付きプロファイルを設定する（<code>~/.aws/config</code>、<code>~/.aws/credentials</code>）</li>
<li>
<code>aws sso login</code>コマンドを実行し、認証用の URL とコードを払い出す。</li>
<li>ブラウザで認証用の URL を開いて、SSO ユーザーにログインする</li>
<li>認証リクエストを承認する</li>
</ol>
<p>これでやっと AWS CLI の使用を開始できます。<br>
なお、↑ のとおり、SSO ユーザーに対する認証はブラウザで行います。この手順はマネジメントコンソールにログインする手順と同じです。MFA を有効化している場合は、この時に OTP を入力します。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__8631b13dfcdc1" src="https://embed.zenn.studio/card#zenn-embedded__8631b13dfcdc1" data-content="https%3A%2F%2Fdocs.aws.amazon.com%2Fja_jp%2Fcli%2Flatest%2Fuserguide%2Fcli-configure-sso.html" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-sso.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-configure-sso.html</a></p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">~/.aws/config</span></div>
<pre class="language-textile"><code class="language-textile"><span class="token phrase">[profile profile1]
sso_start_url = https://my-sso-portal.awsapps.com/start/
sso_region = us-east-1
sso_account_id = 123456789012
sso_role_name = readOnly
region = ap-northeast-1
output = json
</span></code></pre>
</div><div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ aws sso login <span class="token parameter variable">--profile</span> profile1
Attempting to automatically <span class="token function">open</span> the SSO authorization page <span class="token keyword">in</span> your default browser.
If the browser does not <span class="token function">open</span> or you wish to use a different device to authorize this request, <span class="token function">open</span> the following URL:

https://device.sso.us-east-1.amazonaws.com/

Then enter the code:

QCFK-N451
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start/

$ aws iam list-users <span class="token parameter variable">--profile</span> profile1
<span class="token punctuation">{</span>
    <span class="token string">"Users"</span><span class="token builtin class-name">:</span> <span class="token punctuation">[</span>
        <span class="token punctuation">{</span>
            …
</code></pre></div><h2 id="sso-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC-%2B-%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%83%AD%E3%83%BC%E3%83%AB">
<a class="header-anchor-link" href="#sso-%E3%83%A6%E3%83%BC%E3%82%B6%E3%83%BC-%2B-%E3%82%B9%E3%82%A4%E3%83%83%E3%83%81%E3%83%AD%E3%83%BC%E3%83%AB" aria-hidden="true"></a> SSO ユーザー + スイッチロール</h2>
<p>AWS IAM Identity Center で Jump アカウントにログインし、その後別の AWS アカウントにスイッチロールパターンです。</p>
<p><img src="https://res.cloudinary.com/zenn/image/fetch/s--4_DLxH66--/c_limit%2Cf_auto%2Cfl_progressive%2Cq_auto%2Cw_1200/https://storage.googleapis.com/zenn-user-upload/deployed-images/d6b19aed185878a1dd2c012d.png%3Fsha%3D62fb5ec6fd07c14e1b4d46851a597161426f6936" alt loading="lazy" class="md-img"></p>
<p><code>aws sso login</code>コマンドを実行する際に指定するプロファイルと、ログインに成功した後、通常のコマンドを実行する際に指定するプロファイルが異なる点にだけ注意です。</p>
<div class="code-block-container">
<div class="code-block-filename-container"><span class="code-block-filename">~/.aws/config</span></div>
<pre class="language-textile"><code class="language-textile"><span class="token phrase">[profile profile1]
source_profile = profile2
role_arn = arn:aws:iam::123456789012:role/rolename
region = ap-northeast-1
output = json</span>

<span class="token phrase">[profile profile2]
sso_start_url = https://my-sso-portal.awsapps.com/start/
sso_region = us-east-1
sso_account_id = 123456789012
sso_role_name = readOnly
</span></code></pre>
</div><div class="code-block-container"><pre class="language-shell"><code class="language-shell">$ aws sso login <span class="token parameter variable">--profile</span> profile2
Attempting to automatically <span class="token function">open</span> the SSO authorization page <span class="token keyword">in</span> your default browser.
If the browser does not <span class="token function">open</span> or you wish to use a different device to authorize this request, <span class="token function">open</span> the following URL:

https://device.sso.us-east-1.amazonaws.com/

Then enter the code:

QCFK-N451
Successfully logged into Start URL: https://my-sso-portal.awsapps.com/start/

$ aws iam list-users <span class="token parameter variable">--profile</span> profile1
<span class="token punctuation">{</span>
    <span class="token string">"Users"</span><span class="token builtin class-name">:</span> <span class="token punctuation">[</span>
        <span class="token punctuation">{</span>
            …
</code></pre></div><h1 id="%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB">
<a class="header-anchor-link" href="#%E3%81%8A%E3%82%8F%E3%82%8A%E3%81%AB" aria-hidden="true"></a> おわりに</h1>
<p>今年から少しずつアウトプットを増やしていきたいと思って Zenn をはじめました。基本的には自分用のメモですが、どなたかのお役に立てば幸いです🙇‍♂️<br>
ちなみに、（あたり前ですが）本記事に記載されているアクセスキーなどはサンプルです。AWS の公式ドキュメントから引用しています。この手の情報をインターネットに公開するときは、うっかり本当のアクセスキーをのっけてしまわないよう気をつけましょう。</p>


AWS CLI のいろんな認証方式

IAM ユーザー + MFA + スイッチロール

認証パターン別 AWS CLI プロファイル設定方法

Discussion