[Terraform/AWS]direnvでAWS IAM IdentityCenterの認証情報を取得する方法

記事を書いた経緯

• 業務中、ふと手が空いたタイミングでREADMEを確認した際に、direnvに関する記述を見つけたためです。
  それと同時にREADMEは隅々まで読んでおくべきだなと改めて感じた瞬間でした。
   

本記事を読み終わった時のゴール

• direnvを使用してAWSの認証情報(access_key,secret_access_key,session_token)を取得し、
  各modulleでterraformプロジェクトを実行できる事。
   

前提の環境

• インストール方法やシェルの種類が全体的にMacOS向けの説明になっています。
• AWS IAM Identity Center及びOrganizationsで管理しているアカウントの認証情報の取得に関する内容になっています。
   

本編

direnvとは？

• ディレクトリごとに環境変数を設定して適用出来るコマンドラインツールです。
  異なるプロジェクトや作業環境で特定の環境変数を使用する必要がある場合、
  direnvを設定することで、そのディレクトリに移動したときに自動的に環境変数を切り替えることができます。

メリット

• ディレクトリごとに固有の環境変数を動的に使用できるため、手動での認証情報の埋め込み等の手間が省ける。
• 多数のAWSアカウントをIdentity Center(旧SSO)/Organizationsで管理している場合に意図しないアカウントの認証情報を誤って使用する事を防げる。
  (Terraform,CLI,SDK等のAWS APIリクエストで制御する際は非常に助かります。)

インストール

brew install direnv

設定

1. シェル(zsh/bash)にhookを設定する

export EDITOR=vi #使用するエディタを環境変数で設定。
eval "$(direnv hook bash)" #evalで引数になる文字列をシェルコマンドとして実行。

source /.bashrc

export EDITOR=vi
eval "$(direnv hook zsh)"

source /.zshrc

2. クライアントからAWSにアクセスするための設定

vi .aws/config

[profile xx_AdministratorAccess]
region = {デフォルトリージョン}
output = json
sso_start_url = https://{IAM Identity Centerの設定値}awsapps.com/start
sso_region ={IAM Identity Centerの設定リージョン }
sso_account_id = {AWSアカウントID}
sso_role_name = {設定したい許可セット}

3. direnvで環境変数を使用したいディレクトリの設定

vi .envrc

export AWS_PROFILE="xx_AdministratorAccess"

• 実行する事でユーザー側からシェルに対して明示的にこの.envrcを信頼することを指示。

direnv allow 

• 環境変数として設定されているSSOのユーザー情報を使用してログインを行う。

aws sso login --profile $AWS_PROFILE 

#!/bin/zsh
PROJECTS=($(ls -d */))
MAIN_DIR=$(pwd)
RETURN_DIR=(..)

for project in "${PROJECTS[@]}" ; do
    if [[ -f "${MAIN_DIR}/${project}.envrc" ]]; then
        cd "${MAIN_DIR}/${project}"
        direnv allow
        cd "${RETURN_DIR}"
    fi
done
echo "run allowed .envrc !!"

4.TerraformでAWSの認証情報を環境変数として取得できているか確認。

• direnvが機能していれば、手動で環境変数に埋め込まなくても書きコマンドが実行できる。

terraform init