MFA必須のスイッチロールアカウントでaws cliを使う
AWSでセキュリティ強化のためにスイッチロールで権限を切り替えて作業を行うことがある。
この場合、MFAも必須になっていることが多い。
マネージメントコンソールのログインについては↓のChrome拡張をインストールしておくことで手軽にスイッチロールが可能になるが、aws cliでスイッチロールする際のやり方が分からなかったので調べた。
aws cliのcredentialsにproject-a用のprofileがあるとして、
# ~/.aws/credentials
[project-a]
aws_access_key_id = xxxx
aws_secret_access_key = xxxxproductionというロールが存在する場合、以下のようにconfigを設定する。
# ~/.aws/config
[profile project-a-prod]
mfa_serial = arn:aws:iam::{xxxxxxx}:mfa/{iam-user}
role_arn = arn:aws:iam::{xxxxxxx}:role/production
source_profile = project-a重要
credentials ファイルでは、CLI config ファイルの名前付きプロファイルとは別の命名形式を使用します。config ファイルで名前付きプロファイルを設定する場合のみ、プレフィックス "profile" を含めてください。credentials ファイルにエントリを作成するときは、profile という単語を使用しないでください。
とあるのでconfigに書く場合はプレフィックスprofileが必須になる。
credentialsに直接設定を書いても動いたので、credentialsで一元管理してもいいかも。
credentialsに記述する場合は以下のようにプレフィックスを削る。
# ~/.aws/credentials
[project-a-prod]
mfa_serial = arn:aws:iam::{xxxxxxx}:mfa/{iam-user}
role_arn = arn:aws:iam::{xxxxxxx}:role/production
source_profile = project-aこの状態でaws cliを実行するとMFA認証コードが求められ、正しいコードを入力するとcliコマンドが実行できる。
aws s3 ls --profile project-a-prod
// s3 bucket list