MFA必須のスイッチロールアカウントでaws cliを使う

公開日時
更新日時

AWSでセキュリティ強化のためにスイッチロールで権限を切り替えて作業を行うことがある。

この場合、MFAも必須になっていることが多い。

マネージメントコンソールのログインについては↓のChrome拡張をインストールしておくことで手軽にスイッチロールが可能になるが、aws cliでスイッチロールする際のやり方が分からなかったので調べた。

aws cliのcredentialsにproject-a用のprofileがあるとして、

# ~/.aws/credentials
[project-a]
aws_access_key_id = xxxx
aws_secret_access_key = xxxx

productionというロールが存在する場合、以下のようにconfigを設定する。

# ~/.aws/config
[profile project-a-prod]
mfa_serial = arn:aws:iam::{xxxxxxx}:mfa/{iam-user}
role_arn = arn:aws:iam::{xxxxxxx}:role/production
source_profile = project-a

重要

credentials ファイルでは、CLI config ファイルの名前付きプロファイルとは別の命名形式を使用します。config ファイルで名前付きプロファイルを設定する場合のみ、プレフィックス "profile" を含めてください。credentials ファイルにエントリを作成するときは、profile という単語を使用しないでください。

とあるのでconfigに書く場合はプレフィックスprofileが必須になる。

credentialsに直接設定を書いても動いたので、credentialsで一元管理してもいいかも。

credentialsに記述する場合は以下のようにプレフィックスを削る。

# ~/.aws/credentials
[project-a-prod]
mfa_serial = arn:aws:iam::{xxxxxxx}:mfa/{iam-user}
role_arn = arn:aws:iam::{xxxxxxx}:role/production
source_profile = project-a

この状態でaws cliを実行するとMFA認証コードが求められ、正しいコードを入力するとcliコマンドが実行できる。

aws s3 ls --profile project-a-prod
// s3 bucket list

参考


Related #aws

AWSのコスト異常検出を設定する

意図しない課金を防ぐためにとりあえず設定しておくと良さそう

AWS SESでメールを受信してGmailに転送する

独自ドメインメールの送受信ができるようになった

CloudWatch Eventsで日本時刻(JST)の月初に実行したい

Lオプションの存在を知った

Lambdaでaws cli configureを設定できるようにする

AWS_CONFIG_FILE=/tmp/.aws/configを設定した

direnvでMFA必須のスイッチロールアカウントのAWS_ACCESS_KEY_IDを設定する

direnv allowを実行する際にMFA認証コードを入力するようにした