AWS CLI v2 プレビューのインストーラが公開&AWS SSOに対応しました!
ひさびさにAWS CLI v2のニュースが入ってきて興奮しています!
昨年のre:InventでAWS CLI v2の話題が出てきましたが、あまり大きな動きがありませんでした。
- [レポート] DEV322: What’s New with the AWS CLI #reinvent | Developers.IO
- Amazon Linux 2でaws cli v2を試してみた #reinvent | Developers.IO
そんなときにAWS Developer Blogに、バーンと2つのニュースが入ってきました!
- AWS CLI v2 Preview Installers Now Available | AWS Developer Blog
- AWS CLI v2 Preview Now Supports AWS Single Sign-On | AWS Developer Blog
さっそく試してみます!
AWS CLI v2 プレビューをインストーラでインストールしてみる
AWS CLI v2 プレビューのインストーラでは、 /usr/local/bin ディレクトリに aws2 コマンドとしてインストールされます。
そのため、現在のAWS CLI( aws コマンド)とも共存できます。
インストールはブログに記載のとおりやればとても簡単です。
次の3つのインストーラが公開されています。
- MacOS executable installer
- Linux executable installer
- Windows MSI installer
私はMacbookを利用しているので、MacOSへのインストールをやっていきます。
curl コマンドでインストーラをダウンロードして。
1 |
unzip コマンドで展開して、 install スクリプトを実行するだけです。
1 2 | $ unzip awscli-exe.zip$ sudo ./aws/install |
AWS CLI v2 プレビューのコマンドを実行してみると、問題なく動きました!簡単です。
1 2 | $ /usr/local/bin/aws2 --versionaws-cli/2.0.0dev0 Python/3.7.4 Darwin/18.7.0 botocore/2.0.0dev0 |
AWS CLI v2 プレビューを AWS SSOでログインして使用してみる
とてもユニークな機能です。まさか、ブラウザでログインしてターミナルのAWS CLIが使えるようになるとは思いませんでした。
AWS SSO自体の構築方法については、弊社ブログをご参照ください。
- AWS SSO Directory が利用できるようになりました(Microsoft AD以外の選択肢が提供されました) | Developers.IO
- AWS SSOがMFAアプリを使用した多要素認証に対応しました! | Developers.IO
SSO Profileを設定してみる
ブログを参考に、AWS CLI v2 プレビューの設定をしていきます。
まず最初に、 aws2 configure sso コマンドを実行します。
1 2 3 | $ aws2 configure ssoSSO start URL [None]: https://d-0123456790.awsapps.com/startSSO Region [None]: us-east-1 |
そうすると、SSO start URLとSSO Regionの入力を促されます。
SSO Regionは、AWS SSOを構築したリージョンです。
SSO start URLは、AWS SSOのログイン画面のURLです。
余談ですが、AWS CLI v2では、こういった細かい点で補完が効くようになっています。
ここまで入力するとターミナルは入力の受け付けをいったん停止し、デフォルトブラウザでAWS SSOのログイン画面が開きます。
![](data:image/svg+xml,<svg xmlns="http://www.w3.org/2000/svg" width="343" height="486"><rect fill-opacity="0"/></svg>)
ログイン画面からログインすると、AWS CLIでサインインしてよいかと確認を促されるので、そのままサインインします。
そうすると、AWS CLIでのサインインが成功します。
何のこっちゃと思っちゃうんですが、ここでターミナルに戻ってみると次の入力ができるようになっています。スゴい!
後はCLIがデフォルトで使用するRegionと、デフォルトで使用するアウトプットのformatと、Profile名を適当につけてやれば設定は完了です。
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 | $ aws2 configure ssoSSO start URL [None]: https://d-0123456790.awsapps.com/startSSO Region [None]: us-east-1Attempting to automatically open the SSO authorization page in your defaultbrowser. If the browser does not open or you wish to use a different device toauthorize this request, open the following URL:https://device.sso.us-west-2.amazonaws.com/Then enter the code:ABCD-EFGHSuccessully logged into Start URL: https://d-1234567890.awsapps.com/startThere are 2 AWS accounts available to you.Using the account ID 123456789012There are 2 roles available to you.Using the role name "readOnly"CLI default client Region [None]: us-west-2CLI default output format [None]: jsonCLI profile name [readOnly-123456789012]: my-sso-profile |
SSO Profileを使ってみる
AWS SSOでログインしてAWS CLI v2プレビューを使うには、aws2 sso login コマンドでログインが必要です。
1 | $ aws2 sso login --profile my-sso-profile |
そうすると、設定時と同様にデフォルトブラウザでログイン画面が表示されます。そのままログインを進めていくとAWS CLI v2プレビューのコマンドをAWS SSOの権限で使用できるようになります。
試しに、aws2 s3 ls コマンドを実行してみると、問題なく実行できていそうなことがわかります。
1 | $ aws2 s3 ls --profile my-sso-profile |
どうなっているのかと aws2 configure list してみると、どうやらAWS SSOが一時的なクレデンシャルキーを発行をして、うまいこと利用できるようにしていそうです。
1 2 3 4 5 6 7 | $ aws2 configure list --profile my-sso-profile Name Value Type Location ---- ----- ---- -------- profile my-sso-profile manual --profileaccess_key ****************WC27 ssosecret_key ****************/6h0 sso region <not set> None None |
CLIの利用が終わったら、 aws2 sso logout コマンドでログアウトできます。
1 | $ aws2 sso logout |
ログアウトすると、当然権限がなくなりコマンドを実行するとエラーが出るようになります。
1 2 | $ aws2 s3 ls --profile my-sso-profileError loading SSO Token: The SSO access token has either expired or is otherwise invalid. |
終わりに
AWS CLI v2 プレビューのニュースを聞いて、テンション上がりました!
AWS SSOに対応して、さらなる進化を遂げそうです!
プレビュー版なのでまだ本番環境で使うことはありませんが、検証環境ではガンガン試していきたいと思います!
