AWS CLI認証プロセス

概要

AWS CLIは、デフォルトではプレーンテキストで~/.aws/credentialsに保存された認証情報を使用します。この認証情報プロセスにより、Keeperボルトを使用して AWS 認証情報を保存できるようになり、認証情報をディスクに保存する必要がなくなります。

代わりに、AWS はこの実行可能ファイルを使用して、Keeperシークレットマネージャー (KSM) を介してボルトからAWS認証情報を安全に取得します。

特徴

• ボルトに保管された AWS アクセスキーを使用して AWS CLI に認証します。

要件

この統合を利用するには、以下が必要となります。

• Keeperシークレットマネージャーへのアクセス (詳細についてはクイックスタートガイドのページをご参照ください)

  • Keeperアカウントでシークレットマネージャーのアドオンが有効である

  • シークレットマネージャー強制適用ポリシーが有効になっているロールのメンバーシップ

• アクセスキーが共有されたKeeperシークレットマネージャーアプリケーション

  • アプリケーションの作成手順については、クイックスタートガイドをご参照ください。

• 初期化されたKeeperシークレットマネージャー構成

  • この統合ではJSON形式の設定のみが使用できます。

• AWS CLI v2がインストールされている

セットアップ

ボルト

注: フィールド名では大文字と小文字が区別されます。

カスタムフィールドを作成することでAWSアクセスキーを保存するための記録を作成します。この記録は、KSMアプリケーションがアクセスする権限を持つ共有フォルダに保存します。

保存後、AWS認証情報ファイルからアクセスキー認証情報を削除できます。

Keeperシークレットマネージャー (KSM)

統合では、.config/keeper/aws-credential-process.jsonまたはユーザーのホームディレクトリにあるaws-credential-process.jsonに KSM アプリケーション構成ファイルが配置されている必要があります。また、必要なAWSアクセスキーを含む共有フォルダにアクセスできる必要があります。

KSM構成をJSON形式で取得するには、こちらのページの手順をご参照ください。新しいデバイスを作成した後、対応するconfig.jsonを取得し、aws-credential-process.jsonとしてユーザーのホームフォルダにコピーします。

AWS構成

GitHubリリースページからkeeper-aws-credential-process実行可能ファイルの最新バージョンをダウンロードし、任意の場所に保存します。

次に、通常 にある AWS 設定ファイルで、~/.aws/configCLI 経由で使用しているプロファイルに次の行を追加します。

# Add the UID for your AWS Access Key
#credential_process = /path/to/keeper-aws-credential-process --uid <Record UID>
credential_process = /opt/keeper-aws-credential-process-v0.1.1_linux_amd64  --uid <Record UID>

使用法

上記の設定を終えると、AWS CLIはKeeperボルトから認証情報を自動的に取得するようになります。動作を検証するには、以下のような適切なIAMロールが必要となるCLIコマンドを使用して動作を検証できます。

# List all s3 buckets
aws s3 ls

エラーなしで正常に完了する場合、これでセットアップは完了です。

機能リクエストおよび不具合の報告

この認証プロセスはオープンソースであり、GitHubで入手できます。バグ報告やより多くの認証事例への対応をご要望でしたら、こちらのGitHubページからチケットを作成してください。