こんにちは、技術4課の城です。
今回は社内勉強会にてAWS CLIの初心者向けハンズオンをやってみようと思い、このブログを書いています。
さっそくですが、AWS CLIとはコマンドラインを使ってAWSサービスを操作できるツールです。
初心者向けの内容になっていますので、普段マネジメントコンソールでしか触ったことないという方も気軽にやってみましょう!!
前提条件
下記を前提にハンズオンを進めます。
- AWSアカウントを利用可能(Administrator権限)
- デフォルトVPC(172.31.0.0/16)及び、デフォルトサブネット(172.31.0.0/20)が存在する
- bash環境
- AWS CLIがインストール済み
- 黒画面を恐れない心
AWS CLIのインストールについては下記URLをご参照ください。
https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/installing.html
AmazonLinux2を利用すると、デフォルトでインストールされているのでお勧めです。
概要
今回は基礎のキ!ということで、ボリュームは少なめです。
①スイッチロール用IAMユーザーの作成(マネジメントコンソール)
②構築用IAMロールの作成(マネジメントコンソール)
③AWS CLIの設定
④EC2インスタンスの作成(AWS CLI)
スイッチロール用IAMユーザーの作成、及び、構築用IAMロールの作成(マネジメントコンソール)
本項については、こちらのブログの次の内容をご参照ください。
1.IAMユーザーを作る
2.IAMユーザーにSwich Roleの権限だけを与える
3.実際の作業をする時の権限を持ったIAM Roleを作る
これを下記の設定内容で実施します。
- IAMユーザー名:handson-user
- IAMユーザーにアタッチするポリシー
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": "sts:AssumeRole",
"Resource": "arn:aws:iam::【アカウントID】:role/handson-admin"
}
}
- IAMロール名:handson-admin
- IAMロールのアクセス権限:AdministratorAccess
AWS CLIの設定
名前付きプロファイルを利用して、IAMユーザーの認証情報の登録、及び、スイッチロールの設定を行います。
https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-chap-getting-started.html
名前付きプロファイルとは
名前付きプロファイルを利用することで複数の認証情報を登録することが可能になります。
異なるアカウントの認証情報や異なる権限の認証情報を各プロファイルに登録することができます。
https://docs.aws.amazon.com/ja_jp/cli/latest/userguide/cli-multiple-profiles.html
今回はIAMユーザー用のプロファイル、IAMロール用のプロファイルを利用します。
IAMユーザーの認証情報の登録
aws configure
コマンドを利用してIAMユーザーの認証情報を登録します。
今回は --profile
オプションを利用して名前付きプロファイルを作成します。
東京リージョンを利用するので Default region name
は ap-northeast-1
とします。Default output format
は json
とします。
aws configure --profile handson-user
AWS Access Key ID [None]: 【作成したIAMユーザーのアクセスキー】
AWS Secret Access Key [None]: 【作成したIAMユーザーのシークレットアクセスキー】
Default region name [None]: ap-northeast-1
Default output format [None]: json
スイッチロールの設定
スイッチロールの設定として、名前付きプロファイル handson-admin
を作成します。
こちらは ~/.aws/config
に設定を記載します。
cat << ETX >> ~/.aws/config
[profile handson-admin]
output = json
region = ap-northeast-1
role_arn = arn:aws:iam::【アカウントID】:role/handson-admin
source_profile = handson-user
ETX
確認
プロファイルを正しく設定できているか確認します。
プロファイル handson-user
だと参照できない状態が正となります。
【コマンド】
aws iam get-role --role-name handson-admin --profile handson-user
【結果】
An error occurred (AccessDenied) when calling the GetUser operation: User: arn:aws:iam::【アカウントID】:user/handson-user is not authorized to perform: iam:GetUser on resource: user handson-user
プロファイル handson-admin だと参照可能です。
【コマンド】
aws iam get-role --role-name handson-admin --profile handson-admin
【結果】
{
"Role": {
"MaxSessionDuration": 3600,
"RoleId": "AROAJNGSFFVUET3HF2QEK",
"CreateDate": "2018-07-14T14:02:09Z",
"Arn": "arn:aws:iam::【アカウントID】:role/handson-admin",
"AssumeRolePolicyDocument": {
"Version": "2012-10-17",
"Statement": [
{
"Action": "sts:AssumeRole",
"Condition": {},
"Principal": {
"AWS": "arn:aws:iam::【アカウントID】:root"
},
"Effect": "Allow"
}
]
},
"Path": "/",
"RoleName": "handson-admin"
}
}
EC2インスタンスの作成(AWS CLI)
今回はデフォルトVPCにEC2インスタンス(webサーバー)を1台構築してみます。
プロファイルの変更
環境変数に設定することで対象のプロファイルをデフォルト設定として利用することができ、 --profile
オプションを省略することが可能です。
export AWS_DEFAULT_PROFILE='handson-admin'
VPCの指定
既存のVPCに割り当てられているCIDRブロックを確認
デフォルトVPC(172.31.0.0/16)が存在することを確認します。
【コマンド】
aws ec2 describe-vpcs \
--query 'Vpcs[].CidrBlock'
【結果例】
[
"172.31.0.0/16",
"***.***.***.***/**"
]
変数の設定
デフォルトVPCのIPセグメント(172.31.0.0/16)を設定
【コマンド】
VPC_CIDR='172.31.0.0/16'
VPC IDの取得
【コマンド】
VPC_ID=$( \
aws ec2 describe-vpcs \
--filters Name=cidr,Values=${VPC_CIDR} \
--query 'Vpcs[].VpcId' \
--output text \
) \
&& echo ${VPC_ID}
【結果例】
vpc-********
Security Groupの作成
Security Group名の指定
【コマンド】
VPC_SG_NAME='handson-sg'
Security Groupの説明の指定
【コマンド】
VPC_SG_DESC='security group for web server'
Security Groupの不存在確認
【コマンド】
aws ec2 describe-security-groups \
--filters "Name=group-name,Values=${VPC_SG_NAME}"
【結果例】
{
"SecurityGroups": []
}
変数の確認
【コマンド】
cat << ETX
VPC_SG_NAME: ${VPC_SG_NAME}
VPC_SG_DESC: "${VPC_SG_DESC}"
VPC_ID: ${VPC_ID}
ETX
【結果例】
VPC_SG_NAME: handson-sg
VPC_SG_DESC: "security group for web server"
VPC_ID: vpc-********
Security Groupの作成
【コマンド】
aws ec2 create-security-group \
--group-name ${VPC_SG_NAME} \
--description "${VPC_SG_DESC}" \
--vpc-id ${VPC_ID}
【結果例】
{
"GroupId": "sg-*******"
}
Security Group IDの取得
【コマンド】
VPC_SG_ID=$( \
aws ec2 describe-security-groups \
--filter Name=group-name,Values=${VPC_SG_NAME} \
--query "SecurityGroups[].GroupId" \
--output text \
) \
&& echo ${VPC_SG_ID}
【結果例】
sg-********
確認
【コマンド】
aws ec2 describe-security-groups \
--group-ids ${VPC_SG_ID}
【結果例】
{
"SecurityGroups": [
{
"IpPermissionsEgress": [
{
"IpProtocol": "-1",
"PrefixListIds": [],
"IpRanges": [
{
"CidrIp": "0.0.0.0/0"
}
],
"UserIdGroupPairs": [],
"Ipv6Ranges": []
}
],
"Description": "security group for web server",
"IpPermissions": [],
"GroupName": "handson-sg",
"VpcId": "vpc-********",
"OwnerId": "************",
"GroupId": "sg-********"
}
]
}
外部からのHTTP接続のためのルールをセキュリティグループに追加
【コマンド】
aws ec2 authorize-security-group-ingress \
--group-id ${VPC_SG_ID} \
--protocol 'tcp' \
--port 80 \
--cidr 0.0.0.0/0
【結果例】
戻り値なし
確認
【コマンド】
aws ec2 describe-security-groups \
--group-ids ${VPC_SG_ID} \
--query "SecurityGroups[].IpPermissions"
【結果例】
[
[
{
"PrefixListIds": [],
"FromPort": 80,
"IpRanges": [
{
"CidrIp": "0.0.0.0/0"
}
],
"ToPort": 80,
"IpProtocol": "tcp",
"UserIdGroupPairs": [],
"Ipv6Ranges": []
}
]
]
サブネットの指定
サブネットCIDRの指定
【コマンド】
VPC_SUBNET_CIDR='172.31.0.0/20'
サブネットIDの取得
【コマンド】
VPC_SUBNET_ID=$( \
aws ec2 describe-subnets \
--filters Name=cidrBlock,Values=${VPC_SUBNET_CIDR} \
--query 'Subnets[].SubnetId' \
--output text \
) \
&& echo ${VPC_SUBNET_ID}
【結果例】
subnet-********
ユーザーデータの作成
ユーザデータ用ファイル格納ディレクトリ作成
【コマンド】
mkdir userdata
ユーザデータ用ファイル名の指定
【コマンド】
FILE_INPUT="userdata/handson_ec2.bash"
ユーザデータ用ファイルの作成
【コマンド】
cat << ETX > ${FILE_INPUT}
#!/bin/bash
yum -y update
yum -y install httpd
systemctl start httpd.service
systemctl enable httpd.service
echo 'Hello World!!' > /var/www/html/index.html
ETX
ユーザデータ用ファイルの確認
【コマンド】
cat ${FILE_INPUT}
【結果例】
##!/bin/bash
yum -y update
yum -y install httpd24
systemctl start httpd.service
systemctl enable httpd.service
echo 'Hello World!!' > /var/www/html/index.html
キーペアの作成
キーペア名を指定
【コマンド】
EC2_KEY_PAIR_NAME='handson_awscli'
同名のキーペアの不存在の確認
【コマンド】
aws ec2 describe-key-pairs \
--key-names ${EC2_KEY_PAIR_NAME}
【結果例】
An error occurred (InvalidKeyPair.NotFound) when calling the DescribeKeyPairs operation: The key pair 'handson_awscli' does not exist
Keyファイル名の設定
【コマンド】
FILE_SSH_KEY="${HOME}/.ssh/${EC2_KEY_PAIR_NAME}.pem"
【結果例】
/home/****/.ssh/handson_awscli.pem
Keyファイルの不存在確認
同名のファイルが存在しないことを確認します。
【コマンド】
ls ${FILE_SSH_KEY}
変数の確認
【コマンド】
cat << ETX
EC2_KEY_PAIR_NAME: ${EC2_KEY_PAIR_NAME}
FILE_SSH_KEY: ${FILE_SSH_KEY}
ETX
【結果例】
EC2_KEY_PAIR_NAME: handson_awscli
FILE_SSH_KEY: /home/ec2-user/.ssh/handson_awscli.pem
キーペアの作成
【コマンド】
aws ec2 create-key-pair \
--key-name ${EC2_KEY_PAIR_NAME} \
--query 'KeyMaterial' \
--output text \
> ${FILE_SSH_KEY} \
&& cat ${FILE_SSH_KEY} \
&& chmod 400 ${FILE_SSH_KEY}
最新のAmazon Linux2のAMI IDを取得
【コマンド】
EC2_IMAGE_ID=$( \
aws ssm get-parameters \
--names /aws/service/ami-amazon-linux-latest/amzn2-ami-hvm-x86_64-gp2 \
--region ap-northeast-1 \
--query 'Parameters[].Value' \
--output text \
) \
&& echo ${EC2_IMAGE_ID}
【結果例】
ami-e99f4896
インスタンスタイプの指定
【コマンド】
EC2_INSTANCE_TYPE='t2.micro'
変数の確認
【コマンド】
cat << ETX
EC2_IMAGE_ID: ${EC2_IMAGE_ID}
EC2_INSTANCE_TYPE: ${EC2_INSTANCE_TYPE}
EC2_KEY_PAIR_NAME: ${EC2_KEY_PAIR_NAME}
VPC_SG_ID: ${VPC_SG_ID}
VPC_SUBNET_ID ${VPC_SUBNET_ID}
FILE_INPUT: ${FILE_INPUT}
ETX
【結果例】
EC2_IMAGE_ID: ami-e99f4896
EC2_INSTANCE_TYPE: t2.micro
EC2_KEY_PAIR_NAME: handson_awscli
VPC_SG_ID: sg-********
VPC_SUBNET_ID subnet-********
FILE_INPUT: userdata/handson_ec2.bash
インスタンスを起動
【コマンド】
aws ec2 run-instances \
--image-id ${EC2_IMAGE_ID} \
--instance-type ${EC2_INSTANCE_TYPE} \
--security-group-ids ${VPC_SG_ID} \
--key-name ${EC2_KEY_PAIR_NAME} \
--subnet-id ${VPC_SUBNET_ID} \
--associate-public-ip-address \
--user-data file://${FILE_INPUT}
【結果例】
長いので略
インスタンスIDの取得
【コマンド】
EC2_INSTANCE_ID=$( \
aws ec2 describe-instances \
--filter "Name=key-name,Values=${EC2_KEY_PAIR_NAME}" \
--query 'Reservations[].Instances[].InstanceId' \
--output text \
) \
&& echo ${EC2_INSTANCE_ID}
【結果】
i-*****************
ステータスの確認
【コマンド】
aws ec2 describe-instance-status \
--instance-ids ${EC2_INSTANCE_ID} \
--query 'InstanceStatuses[].InstanceState[].Name'
【結果】
[
"running"
]
パブリックIPの取得
EC2_PUBLIC_IP=$( \
aws ec2 describe-instances \
--instance-ids ${EC2_INSTANCE_ID} \
--query 'Reservations[].Instances[].PublicIpAddress' \
--output text \
) \
&& echo ${EC2_PUBLIC_IP}
HTTPでアクセス確認
webサーバーとしてインスタンスが立ち上がっている事が確認できます。
【コマンド】
curl ${EC2_PUBLIC_IP}
【結果】
Hello World!!
最後に
いかがでしたでしょうか?
そもそもマネジメントコンソールで設定できない項目があったり、手順化が容易であったりと、使う方に応じたメリットがあるかと思います。
今までコマンドラインに触れる機会が少なかった方の、触っていただくきっかけにでもなれば幸いです。