事前作業2. IAMロールのポリシー追加 (service-role:AmazonEC2ContainerServiceforEC2Role)

作業の目的 [why]

IAMロール"ecsInstanceRole"にIAMポリシー"AmazonEC2ContainerServiceforEC2Role"を追加します。

完了条件/事前条件 [設計者用情報]

完了条件 [after]

主処理は、以下を満たしたときに成功したものとします。

完了条件1
IAMロール"ecsInstanceRole"にIAMポリシー"AmazonEC2ContainerServiceforEC2Role"がアタッチされている。

事前条件 [before]

主処理の実施は、以下の状態であることを前提とします。

事前条件1
IAMロール"ecsInstanceRole"が存在している。
事前条件2
IAMロール"ecsInstanceRole"にAWS管理ポリシー"AmazonEC2ContainerServiceforEC2Role"がアタッチされていない。
事前条件3
AWS管理ポリシー"AmazonEC2ContainerServiceforEC2Role"が存在している。

前提と異なることが判明した場合、直ちに処理を中止します。

作業対象 [what]

  • IAMロール

標準時間

8分

前提条件

作業権限条件 [who]

本作業は、以下の作業権限を有する人が行います。

作業権限条件: IAMへの権限

IAMに対してフル権限があること。

作業環境条件 [where]

本作業は、以下の作業環境で行います。

作業環境条件1: OSとバージョン

Amazon Linuxの以下のバージョンで動作確認済

コマンド:

cat /etc/issue | head -1

結果(例):

Amazon Linux AMI release 2016.09

作業環境条件2: シェルとバージョン

bashの以下のバージョンで動作確認済

コマンド:

bash --version -v | head -1

結果(例):

GNU bash, バージョン 4.2.46(1)-release (x86_64-redhat-linux-gnu)

作業環境条件3: AWS CLIのバージョン

以下のバージョンで動作確認済

  • AWS CLI 1.14.27

コマンド:

aws --version

結果(例):

aws-cli/1.14.31 Python/2.7.12 Linux/4.4.11-23.53.amzn1.x86_64 botocore/1.8.35

バージョンが古い場合は最新版に更新しましょう。

コマンド:

sudo -H pip install -U awscli

開始条件

作業に必要なモノ・情報 [resource]

作業開始には、以下が全て揃っていることが必要です。

リソース1: IAMロール名

  • IAMポリシーをアタッチするIAMロールの名称です。
  • 今回は"ecsInstanceRole"とします。

リソース2: IAMポリシー名

  • IAMロールにアタッチするIAMポリシーの名称です。
  • 今回は"AmazonEC2ContainerServiceforEC2Role"とします。

作業開始には、以下が全て揃っていることが必要です。

作業開始 [when]

以下を全て満たしているとき、作業を開始します。

  • 開始の指示があった場合。

タスクの実施

0. パラメータの指定

まず変数の確認をします。

変数の確認:

cat << ETX

  # 0.a. AWS_DEFAULT_PROFILE:"<IAMのフル権限を許可されたプロファイル>"
         AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}"

  # 0.1. IAM_ROLE_NAME:"ecsInstanceRole"
         IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # 0.2. IAM_POLICY_NAME:"AmazonEC2ContainerServiceforEC2Role"
         IAM_POLICY_NAME="${IAM_POLICY_NAME}"

ETX

下段の変数が入っていない、もしくは上段と同等の値が入っていない場合は、それぞれの手順番号について作業を行います。

0.a. プロファイルの指定

変数の設定:

export AWS_DEFAULT_PROFILE='<IAMのフル権限を許可されたプロファイル>'

0.1. IAMロール名の指定

IAMポリシーを適用するIAMロールを指定します。

変数の設定:

IAM_ROLE_NAME='ecsInstanceRole'

0.2. IAMロールに適用するIAMポリシーの決定

IAMロールに適用するIAMポリシーを指定します。

変数の設定:

IAM_POLICY_NAME='AmazonEC2ContainerServiceforEC2Role'

再確認

設定されている変数の内容を再確認します。

変数の確認:

cat << ETX

  # 0.a. AWS_DEFAULT_PROFILE:"<IAMのフル権限を許可されたプロファイル>"
         AWS_DEFAULT_PROFILE="${AWS_DEFAULT_PROFILE}"

  # 0.1. IAM_ROLE_NAME:"ecsInstanceRole"
         IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # 0.2. IAM_POLICY_NAME:"AmazonEC2ContainerServiceforEC2Role"
         IAM_POLICY_NAME="${IAM_POLICY_NAME}"

ETX

1. 前処理

1.1. 作業対象の状態確認

主処理の実施は、以下の状態であることを前提とします。

前提と異なることが判明した場合、直ちに処理を中止します。

事前条件1: IAMロール"ecsInstanceRole"が存在している。

「IAMロール"ecsInstanceRole"が存在している。」ことを確認します。

コマンド:

aws iam list-roles \
  --query "Roles[?RoleName == \`${IAM_ROLE_NAME}\`].RoleName"

結果(例):

[
    "ecsInstanceRole"
]

事前条件2: IAMロール"ecsInstanceRole"にAWS管理ポリシー"AmazonEC2ContainerServiceforEC2Role"がアタッチされていない。

「IAMロール"ecsInstanceRole"にAWS管理ポリシー"AmazonEC2ContainerServiceforEC2Role"がアタッチされていない。」ことを確認します。

コマンド:

aws iam list-attached-role-policies \
  --role-name ${IAM_ROLE_NAME} \
  --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"

結果(例):

[]

事前条件3: AWS管理ポリシー"AmazonEC2ContainerServiceforEC2Role"が存在している。

「AWS管理ポリシー"AmazonEC2ContainerServiceforEC2Role"が存在している。」ことを確認します。

コマンド:

aws iam list-policies \
  --scope AWS \
  --max-items 1000 \
  --query "Policies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName" \
  --output text

結果(例):

AmazonEC2ContainerServiceforEC2Role

1.2. 主処理に必要な情報の取得

IAMロールのARN取得

変数の設定:

IAM_POLICY_ARN=$( \
  aws iam list-policies \
    --scope AWS \
    --max-items 1000 \
    --query "Policies[?PolicyName==\`${IAM_POLICY_NAME}\`].Arn" \
    --output text \
) \
  && echo "${IAM_POLICY_ARN}"

結果(例):

arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role

2. 主処理

ロールポリシーの適用

ロールポリシーをIAMロールに適用します。

変数の確認:

cat << ETX

  # IAM_ROLE_NAME:"ecsInstanceRole"
    IAM_ROLE_NAME="${IAM_ROLE_NAME}"
  # IAM_POLICY_ARN:"arn:aws:iam::aws:policy/service-role/AmazonEC2ContainerServiceforEC2Role"
    IAM_POLICY_ARN="${IAM_POLICY_ARN}"

ETX

コマンド:

aws iam attach-role-policy \
  --role-name ${IAM_ROLE_NAME} \
  --policy-arn ${IAM_POLICY_ARN}

結果(例):

(出力なし)

3. 後処理

完了条件の確認

主処理は、以下を満たしたときに成功したものとします。

完了条件1: IAMロール"ecsInstanceRole"にIAMポリシー"AmazonEC2ContainerServiceforEC2Role"がアタッチされている。

「IAMロール"ecsInstanceRole"にIAMポリシー"AmazonEC2ContainerServiceforEC2Role"がアタッチされている。」ことを確認します。

作成したポリシーのARNを取得できることを確認します。

コマンド:

aws iam list-attached-role-policies \
  --role-name ${IAM_ROLE_NAME} \
  --query "AttachedPolicies[?PolicyName == \`${IAM_POLICY_NAME}\`].PolicyName"

結果(例):

[
  "AmazonEC2ContainerServiceforEC2Role"
]

完了