Python(boto3)でアクセスキーをローテーションさせてみます。
スクリプトはこんなかんじ。
こんなかんじのことをやってます。
.aws/credentialsに新しいアクセスキーの情報を書き込むアクセスキーがすでに2つ作成されていた場合、エラーになる。
.aws/credentialsが以下のような形式じゃなければならない
[default] aws_access_key_id = wawawa aws_secret_access_key = sasasa
べんりよー
独学プログラマー Python言語の基本から仕事のやり方まで
Python(boto3)を利用して自分のアクセスキーを削除してみます。
こんなかんじ。
実行するとこれを実行したユーザのAWSアクセスキーが削除されます。
作業終わりにこれを実行するようにするとか、踏み台のログアウト時とかシャットダウンスクリプトだとかにこのスクリプトを組み込んでおくとかして、アクセスキーの消し忘れを防ぐなどしたい。
という需要があって書いた。
徹底攻略 AWS認定 ソリューションアーキテクト ? アソシエイト教科書 徹底攻略シリーズ
VSCodeを利用してPythonのデバッグを行っていたときにこんなかんじのエラーが出力されてPythonが実行できなくなってしまった。
その対処法です。
[Open launch.json]ボタンを選択してVSCodeでlaunch.jsonを開きます。
以下のように設定されているはずなのでこの設定を
{
"name": "Python: Current File",
"type": "python",
"request": "launch",
"program": "${file}",
"console": "integratedTerminal"
}
こんなかんじに書き換えてあげます(consoleの箇所をinternalConsoleに変更している)
{
"name": "Python: Current File",
"type": "python",
"request": "launch",
"program": "${file}",
"console": "internalConsole"
}
こうすることでなにか別のコンソールではなく、VSCodeのデバッガでPythonが実行されるようになります。
おわり
KMSのAWSマネージド型キーのキーポリシーを確認してみます。
AWSマネージド型キーはカスタマー管理型のキーとちがい、マネジメントコンソールからキーポリシーを確認することはできませんが、AWSCLIを利用することで確認することができます。
こんなかんじのコマンドで確認することができます。
この例はaws/s3のマネージド型キーのキーポリシーが確認できます。
policy-nameはdefault固定です。
$ aws kms get-key-policy --key-id wawawa --policy-name default
{
"Policy": "{\n \"Version\" : \"2012-10-17\",\n \"Id\" : \"auto-s3-2\",\n \"Statement\" : [ {\n \"Sid\" : \"Allow access through S3 for all principals in the account that are authorized to use S3\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"*\"\n },\n \"Action\" : [ \"kms:Encrypt\", \"kms:Decrypt\", \"kms:ReEncrypt*\", \"kms:GenerateDataKey*\", \"kms:DescribeKey\" ],\n \"Resource\" : \"*\",\n \"Condition\" : {\n \"StringEquals\" : {\n \"kms:CallerAccount\" : \"123456789012\",\n \"kms:ViaService\" : \"s3.ap-northeast-1.amazonaws.com\"\n }\n }\n }, {\n \"Sid\" : \"Allow direct access to key metadata to the account\",\n \"Effect\" : \"Allow\",\n \"Principal\" : {\n \"AWS\" : \"arn:aws:iam::123456789012:root\"\n },\n \"Action\" : [ \"kms:Describe*\", \"kms:Get*\", \"kms:List*\" ],\n \"Resource\" : \"*\"\n } ]\n}"
}
AWSマネージド型キーのキーポリシーが確認できます。
マネージドポリシーでいいかーとおもって使っていると権限が足りなくて実は裏でエラーになっているみたいなことになったりならなかったりするので確認しておくとよいです。
Amazon Web Services エンタープライズ基盤設計の基本
IAMグループにアタッチされているポリシーをツリー状に表示するPythonを書いてみました。
スクリプトはこんなかんじ。
こんなかんじで動作します。
$ python iam_group_tree.py admin_group └─ AdministratorAccess test_group ├─ AlexaForBusinessReadOnlyAccess ├─ AmazonCloudDirectoryReadOnlyAccess ├─ AmazonChimeReadOnly └─ AmazonAppStreamReadOnlyAccess
こういうかんじの人間に優しい出力が役に立つときっていうのは意外にある気がする。
Amazon Web Services エンタープライズ基盤設計の基本
Pythonのスクリプトの中でAWSCLIを実行してみます。
こんなかんじで指定してあげることでAWSCLIを実行できます。
import subprocess subprocess.call(['aws', 's3', 'ls'])
べんりだったりそうでなかったりしそう。
AWS認定資格試験テキスト AWS認定 クラウドプラクティショナー
EC2インスタンスのIDの一覧をPythonのリスト内包表記をつかってかんたんに取得してみます。
いずれも以下の様な感じで宣言してあるとする。
import boto3
ec2 = boto3.client('ec2')
response = ec2.describe_instances()
こんなかんじでかんたんにできる
instance_id_list = [response['Instances'][0]['InstanceId'] for response in response['Reservations']]
print(instance_id_list) # ['i-XXXXXX', 'i-YYYYYY']
こんなかんじでループさせて配列のなかに入れあげる必要があった。
instance_id_list = []
for reservations in response['Reservations']:
instance_id_list.append(reservations['Instances'][0]['InstanceId'])
print(instance_id_list) # ['i-XXXXXX', 'i-YYYYYY']
多少わかりにくいみたいなところはあるけれどね
AWS認定資格試験テキスト AWS認定 ソリューションアーキテクト-アソシエイト
三体を読み終わった。
よかった。
まさかこんなに続き物だとは思わなかった。
続編が和訳されるのは2020年とのことなので楽しみではあるけれど内容を忘れていそうな気がする。
特定のタグがついたロールにスイッチロールするようなIAMポリシーです。
このポリシーの場合だと、environmentタグにdevという値が設定されているロールにスイッチロールすることを許可しています。
こんなかんじにタグでスイッチロール許可を与えることで、スイッチロールしたいロールのARNをポリシーに書く必要がなくなります。
なのでスイッチロールしたいロールが増えてもこのポリシーを書き換える必要はなく、スイッチロールしたいロールにタグを付けてあげるだけでよくなります。
ひさびさに書いた
Amazon Web Services 業務システム設計・移行ガイド (Informatics&IDEA)
こんなかんじで--password='パスワード'とすることでパスワードをコマンドラインからわたすことができます。
$ mysql -h example.com -P 3306 -u ユーザ名 --password='パスワード'
ただ、あまりこの使い方は推奨されていない。
平文でパスワード書くことになっちゃうし。
(でもこうやってつかいたいときもあるよね)
シェルスクリプトとかに書いてcronで裏でうごかすとかそういうユースケースだとこれを利用せざるを得ないのかな…?
達人に学ぶDB設計 徹底指南書 初級者で終わりたくないあなたへ
戯れにBMIを計算してくれるシェルスクリプトを書いてみた。
こんなかんじ。
bmi.sh 身長 体重でうごく。
ちなみにいまの身長体重はこんなかんじ。
だいぶやせた。
$ ./bmi.sh 178 68 21.46
年始はこのくらいあった。
$ ./bmi.sh 178 78 24.61
2ヶ月とすこしで10kgちかくやせた。
どうやってやせたかは別の機会に書く。
ここ2週間で読んだ本とか映画とか漫画とか
みおわった。
ラグナロク
なんか英語がすごくききとりやすかった。
おもしろかったす。PS3くらいのCG
面白かったと思う。たぶん。
クリアした。
むずかしかった。12時間くらい。
何回閉じても無駄ですよ~のシェルスクリプトを書いた。
「何回閉じても無駄ですよ~」が無限にでる。
Ctrl-cで終わらせることはできない。
実際にうごかしてみるとこんなかんじになる。
$ ./arrest.sh 何回閉じても無駄ですよ~ 何回閉じても無駄ですよ~ ^C何回閉じても無駄ですよ~ ^C何回閉じても無駄ですよ~ ^C何回閉じても無駄ですよ~
何回閉じても無駄なのではなくて単純にSIGINTをトラップしているだけ。
なので他の方法で止めればいい。
たとえばCtrl-zでこのスクリプトを一時停止させてからkill -9 プロセスIDとかpkill スクリプト名してあげればよい。
おわり。
![[改訂第3版]シェルスクリプト基本リファレンス ──#!/bin/shで、ここまでできる WEB+DB PRESS plus](https://images-fe.ssl-images-amazon.com/images/I/41PzlCY9%2BsL._SL160_.jpg "[改訂第3版]シェルスクリプト基本リファレンス ──#!/bin/shで、ここまでできる WEB+DB PRESS plus")
[改訂第3版]シェルスクリプト基本リファレンス ──#!/bin/shで、ここまでできる WEB+DB PRESS plus
Ansibleを利用してIAMポリシーを作成してみたいと思います。
playbookとそれでつかうJSONはこんなかんじ。
JSONに記載したポリシーのとおりにIAMポリシーが作成されます。
ポリシーができている。
$ aws iam list-policies --query 'Policies[].PolicyName' | grep admin_policy
"admin_policy",
なかみもplaybookで指定したJSONとおなじであることがわかる。
$ aws iam get-policy-version --policy-arn arn:aws:iam::123456789012:policy/admin_policy --version-id v1
{
"PolicyVersion": {
"CreateDate": "2019-03-05T14:31:43Z",
"VersionId": "v1",
"Document": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "*",
"Resource": "*",
"Effect": "Allow"
}
]
},
"IsDefaultVersion": true
}
}
まあべんりよね。
Ansible実践ガイド第2版 impress top gearシリーズ
ターミナルソフトであるRLoginでデフォルトの設定を作成する方法をご紹介します。
これをつかうことでホストが増えるたびにフォント変更して、右クリックの挙動変えて、選択でクリップボードいれて…みたいな煩わしい設定から開放されます。
じぶんごのみに設定したホストを右クリックして「標準の設定にする」を選択します。
その後、新規ホストの作成時などに以下のチェックボックスを有効にしてあげるとその設定が使用されます。
ずっとしらなかったよ…
ハッキング・ラボのつくりかた 仮想環境におけるハッカー体験学習
