AWSのUsing Temporary Security Credentialsがうまくいかない

2013年12月31 00時28分

AWSのUsing Temporary Security Credentialsがうまくいかない

AWSのUsing Temporary Security Credentialsがうまくいかないメモ。

AWS Security Credentialsとは

AWSに関する様々な操作を行う時に必要な認証情報。Security Credentials(以下、SC)があれば、EC2インスタンス内からコマンド経由でインスタンスを作ったりすることが出来る。

一番セキュアにSCを取得する方法は、IAM Roleを付与したインスタンスからSCを取得する方法。のはずが、何故かうまくいかない…。いつか解決するかもなので、とりあえず途中経過だけメモしておく。

IAM Roleを作成する

IAM Roleを作成することで、インスタンスメタデータからSCを取得することができるようになる。さらにこのSCは自動的に循環させられるので、永久に使えるSCよりは安全なものになる。

IAMのRoleから、

Create New Role

Role Type

AWS Service Roles > Amazon EC2

Set Permissions

Select Policy Template > Power User Access

という項目を順次選ぶだけでIAM Roleを作成できる。Policy Documentはいじる必要がない。

IAM Roleを作ったら、そのRoleを適用したEC2インスタンスを作成しておいてください。EC2インスタンス作成ウイザードにRoleの選択画面があるので、そこで今回作成したRoleを選んでおいてください。

Security Credentialsをインスタンスメタデータから取得する

新規に作成したRoleを正しくEC2インスタンスに割り当てていれば、後はGETコマンドで特定のIPアドレスにアクセスするだけで、SCが取得できる。

GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE_NAME]

# 結果
{
  "Code" : "Success",
  "LastUpdated" : "2013-12-30T12:22:37Z",
  "Type" : "AWS-HMAC",
  "AccessKeyId" : "ACCESS_KEY_ID",
  "SecretAccessKey" : "SECRET_ACCESS_KEY",
  "Token" : "TOKEN",
  "Expiration" : "2013-12-30T18:46:17Z"
}

jqコマンド(sudo yum install -y jqでインストール)があれば、返ってきたJSONから特定の部分のみを簡単に抜き出すことができる。

GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE_NAME] | jq .
GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE_NAME] | jq '.SecretAccessKey,.AccessKeyId'

コマンドでEC2インスタンスを操作する

EC2インスタンスをコマンドから操作するためには、下記の2つの環境変数をセットしておく必要がある。IAM Roleを正しく設定できていれば、下記のコマンドを実行するだけで大丈夫。

# Security Credentialsのセット
export AWS_ACCESS_KEY="`GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE_NAME] | jq -r '.AccessKeyId'`"
export AWS_SECRET_KEY="`GET http://169.254.169.254/latest/meta-data/iam/security-credentials/[ROLE_NAME] | jq -r '.SecretAccessKey'`"

# Security Credentialsの確認
echo $AWS_ACCESS_KEY && echo $AWS_SECRET_KEY

# インスタンス一覧の表示(東京リージョン)
ec2-describe-instances --region ap-northeast-1

本当はこれでインスタンスの情報が表示されるはずなんだけど、下記のようなエラーが表示されて失敗する…。

Client.AuthFailure: AWS was not able to validate the provided access credentials

参考リンク

Setting Up the Amazon EC2 Command Line Interface Tools on Linux/UNIX

ec2-describe-instances

Amazon EC2 の IAM ロール

インスタンスメタデータとユーザーデータ

著者プロフィール

Webサイトをいくつか作っています。

ツイッターはこちら

新着記事

・2015/12/23

re:Work - Guide: 素晴らしいマネージャーを賞賛し、素晴らしいマネージャーから学ぶ new

・2015/12/19

re:Work - Guide: マネージャーの能力を伸ばし、マネージャーをサポートする new

・2015/12/16

re:Work - Guide: 素晴らしいマネージャーの要素を見付け出す new

・2015/12/13

re:Work - Subject: マネージャー

・2015/12/13

re:Work - Guide: 候補者の応募体験を形作る

・2015/12/13

re:Work - Guide: 面接者をトレーニングする

・2015/12/08

re:Work - Guide: 委員会方式による採用意思決定

・2015/12/05

re:Work - Guide: 構造化面接を実施する

・2015/12/05

re:Work - Guide: 履歴書をレビューする

・2015/12/04

re:Work - Subject: 採用

・2015/12/04

re:Work - Guide: 募集要項の書き方

・2015/04/29

RubyMineでMarkDownのみ行末の空白を残す設定

新しい記事一覧

ソーシャルランキング

・2013/05/30

Lean Analytics: KPIにしてはいけない8つの指標 349 users

・2011/12/20

楽天が大成功した理由とクラウドファンディングが成功しない理由 174 users

・2013/05/26

ニコニコ動画のタグの傾向を見てみた 77 users

・2013/05/28

ニコニコ動画のタグネットワークを描画してみた 75 users

・2012/11/25

fluentdの簡単な使い方、設定方法一覧 65 users

・2012/03/24

Android SDK r17で高速化されたAndroidエミュレータを動かす全手順 59 users

・2011/12/19

とんQに提案メールを送ったらすっごい丁寧な返事が返ってきた！ 42 users

・2013/03/17

各種レコメンドアルゴリズムの特徴・計算方法まとめ 35 users

・2013/05/29

ABテストを検定する 34 users

・2013/03/14

Job Queueシステムを自分で設計するときに必要な設定項目メモ 29 users

・2013/03/14

Job Queueシステムを自分で設計するときに必要な設定項目メモ 29 users

アクセス数ランキング

・2012/01/07

Android端末のGoogleアカウント同期機能まとめ【電話帳、Gmail、カレンダー、Picasa】

・2012/03/24

Android SDK r17で高速化されたAndroidエミュレータを動かす全手順

・2012/10/14

HTMLだけでツイッターを埋め込む方法

・2011/12/20

楽天が大成功した理由とクラウドファンディングが成功しない理由

・2012/10/10

絵師さんが参考にしているサイトだいたい200個まとめ

Hive Color

Hive Color