幹壞事是進步最大的原動力
AWS IAM 總算可以掛多個 MFA 到同一個帳號下了:「You can now assign multiple MFA devices in IAM」。
先前的 workaround 是開多個一樣權限的帳號,一個帳號掛 TOTP MFA,另外的每個帳號掛一隻 U2F MFA,但偶而會遇到會認 IAM account 的權限檢查,就會比較麻煩...
先說明一下,目前這個功能看起來還在 rolling update (也有可能是 bug?),我的公司帳號就成功把本來只有 TOTP MFA 的加掛 U2F MFA 上去,但我自己的 AWS 帳號就怎麼樣都看不到這個新功能。
這是加好的:
這是我自己的 AWS 帳號,沒有像上面那樣可以管理多個 MFA,而點開 Manage 也只會看到移除的選項:
到另外一個掛 U2F MFA 的帳號下一樣也看不到:
另外我在刪除 IAM 帳號時也發現會有無法刪除 MFA 設定的錯誤訊息 (但點進去看 IAM user 可以確認 MFA 已經背山掉了),這時候再刪一次就會成功,看起來 console bug 還不少... 也許再放個兩天看看?
看到 Simon Willison 的「s3-credentials: a tool for creating credentials for S3 buckets」這篇,裡面講到了幾件事情。
在 AWS 上比較好的安全設計是,不同專案之間都有自己的 S3 bucket,然後建立對應的 IAM user,每個 IAM user 只能存取自己的 S3 bucket。
但這個建立過程很煩:
Creating those credentials is surprisingly difficult!
整個建立的過程包括了四個步驟:
讓人煩的主要是第三個,那個 JSON format 每次都要翻資料 XD
所以他寫了 s3-credentials 這個套件讓大家用,可以透過 pip 直接安裝起來用。
不過我是偏好用 awscli 的,直接把指令放在 wiki page 上面:「awscli」,需要的時候就 copy & paste 過來執行就可以了。在公司的 wiki 上還有直接把 EC2 instance 生到對應的 subnet 指令可以用...
這東西大概不會簡化,只能大家自己找出路 XD
Switch Role 讓你可以在兩個 AWS 帳號間切換身份,可以參考「Switching to a Role (AWS Management Console)」這邊的說明。而剛剛看到這則 tweet,直接拆解 AWS 中 Switch Role 的連結,其實也就是文件裡面寫的 Tip:
I use browser bookmarks to switch between different cross-account IAM assumed roles in the AWS console.
Here's the URL format (remove space between slashes):
https:/ /signin.aws.amazon.com/switchrole?account=012345678901&roleName=admin&displayName=tag-admin
— Eric Hammond (@esh) February 6, 2018
另外有 tweet 的 reply 有提到還可以加上顏色:
You can even add something like &color=F2B0A9
There is also a way to redirect to a page after switching, but I can't remember the parameter name— Ben Bridts (@ikB3N) February 6, 2018
所以整體的網址就變成 https://signin.aws.amazon.com/switchrole?account=012345678901&roleName=admin&displayName=tag-admin&color=F2B0A9 這樣。
在 console 上發現不見了,跑去 forum 上看看是不是有其他人遇到同樣的問題,結果發現被拔掉了:「Attach IAM Role to existing EC2 instance in console not available」。
On Friday, Feb 24th, we were made aware that under certain conditions, the feature was not working for customers using the EC2 console. As a result, we have temporarily removed this capability from the EC2 console, but we will enable this feature when this issue has been resolved.
Ouch... 只好先用 CLI 了...
EC2 的 IAM Role 根本是開發階段最常重新啟動的理由之一 XDDD
AWS 總算把動態調整 IAM Role 的功能給做出來了:「New! Attach an AWS IAM Role to an Existing Amazon EC2 Instance by Using the AWS CLI」。
不過看到文章完全沒有截圖,心裡大概就猜得到目前 web console 還不支援了... 現在只能透過 command line 操作,像是「Attach the IAM role to an existing EC2 instance that was originally launched without an IAM role」這一段:
$ aws ec2 associate-iam-instance-profile --instance-id YourInstanceId --iam-instance-profile Name=YourNewRole-Instance-Profile
或是「Replace the attached IAM role」這段:
$ aws ec2 replace-iam-instance-profile-association --association-id YourCurrentAssociation-id --iam-instance-profile Name=YourReplacementRole-Instance-Profile
不過有進度總是比沒進度開心,這功能應該會加到 web console...
這陣子在弄 AWS CodeDeploy,調整了半天才把權限壓低到合理的範圍 (AWS 給的預設值還是有點大),記錄下來之後會比較好找...
在權限部份,AWS CodeDeploy 應該有三個權限要設定:
如同前面講的,IAM user 的部份有兩個要處理,一個是讓 CI 服務把檔案傳上 Amazon S3,另外一個是讓他有權限可以呼叫 AWS CodeDeploy 佈署新版本。
後者比較簡單,直接拉 AWSCodeDeployDeployerAccess 就可以了,前者比較麻煩一點,需要透過 Policy Generator 建出對應的權限:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1486156178000",
"Effect": "Allow",
"Action": [
"s3:*"
],
"Resource": [
"arn:aws:s3:::codedeploy-testbucket/*"
]
}
]
}
第二個的 Service Role 是最簡單的,直接拉 AWSCodeDeployRole 就可以了。
第三個的 EC2 Role 只需要給存取 Amazon S3 的權限。照 AWS 的建議用 AmazonEC2RoleforAWSCodeDeploy 是會動啦,但權限給太大了,整個帳號可以存取的 S3 bucket 他都可以拉到:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:ListObjects"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
改成自己用 Policy Generator 生,限制在 codedeploy-testbucket 上會比較好:
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "Stmt1486165995000",
"Effect": "Allow",
"Action": [
"s3:GetObject",
"s3:GetObjectVersion",
"s3:ListBucket"
],
"Resource": [
"arn:aws:s3:::codedeploy-testbucket/*"
]
}
]
}
這樣權限的部份就差不多了...
Amazon Redshift 的這個功能等了好久啊,之前都要自己指定 key 與 secret,不只讓程式寫起來變麻煩,安全性也一直是個問題:「Amazon Redshift now supports using IAM roles with COPY and UNLOAD commands」。
之前的指令是:
COPY ... FROM ... WITH CREDENTIALS 'aws_access_key_id=access-key-id;aws_secret_access_key=secret-access-key' ...
現在都可以透過 IAM Role 省下這些功夫...
在 AWS Web Console 上可以用 access key 查詢是哪個 IAM 使用者了:「Introducing IAM Console Search」。
這樣就可以再查出這個 IAM key 有哪些權限...
AWS 對於帳號建議的管理方式是把 Root Account 封印,改開 AWS IAM,而這篇就是在介紹要如何偵測 Root Account 的 access key 被使用的情況 (一般來說應該連 access key 都不會生,這邊是放了一道警告機制防萬一):「How to Receive Notifications When Your AWS Account's Root Access Keys Are Used」。
CloudTrail + CloudWatch 的組合技。