自己証明書でIAM Roles Anywhereを使いAWS CLIを実行してみた

この記事は？

通常IAM Roles Anywhereはセキュリティの観点から、外部認証局またはプライベート認証局を準備して運営する必要があります。
しかし外部認証局やプライベート認証局は金額が比較的高額になるや認証局の運用の手間が高いため、敷居が高いです。
そこでやむなくですが自己証明書を利用してIAM Roles Anywhereを実施しました。この記事では、その手順を説明しています。
またaws_signing_helperとmacOSのキーチェーンストアとの連携や、クライアント証明書の識別子での認証制限方法も説明しています。

IAM Roles Anywhereとは？

IAM Roles Anywhereは、AWSの外側にあるワークロード（オンプレミスサーバー、他のクラウド上の仮想マシンなど）に対して、一時的なAWSリソースへのアクセス権を付与するためのAWSの機能です。

そもそも自己証明書とは？

自己証明書（じこしょめいしょめいしょ、英: Self-signed certificate）とは、その証明書の持ち主自身が、自身の秘密鍵を用いて署名したデジタル証明書のことです。日本では俗に「オレオレ証明書」とも呼ばれます。
通常のデジタル証明書は、信頼できる第三者機関である認証局 (CA) が、その証明書が正当なものであることを保証するために署名を行います。
しかし、自己証明書は第三者の保証がないため、公的な信頼性がない点がセキュリティ上問題とされています。

AWS CLIをインストール

最初にAWS CLIをインストールします。最後の動作テスト用に使います。
以下のマニュアルの手順を参照しインストールします。

• AWS CLI の最新バージョンのインストールまたは更新 - AWS Command Line Interface

aws_signing_helperをインストール

IAM Roles Anywhereから一次認証情報を取得するためのツールとしてaws_signing_helperがAWSから提供されています。

chmod +x aws_signing_helper

./aws_signing_helper version

mkdir ~/bin
mv aws_signing_helper ~/bin

# Add Path
PATH="/Users/n/bin:${PATH}"

aws_signing_helper version

自己認証局(CA)の秘密鍵と証明書を作成する

まずは、自己認証局を作成します。具体的には自己認証局として以下の２つを作成します。

1. 自己認証局(CA)の秘密鍵
2. 自己認証局(CA)の証明書

自己認証局(CA)の秘密鍵 作成

以下の部分の認証局の秘密鍵を最初に作成します。
生成する認証局の秘密鍵は 、2048bitのRSA鍵になります。

以下のコマンドで秘密鍵を生成します。

openssl genrsa -out self-signed-ca-private-key.pem 2048

自己認証局(CA)の証明書 作成

次に、自己証明局の証明書を作成します。以下の部分の証明書です。

(a) openssl設定の変更
証明書作成のためにopensslの設定を変更します。具体的には、以下の設定を追加します。

• プライベート認証局の自己署名証明書の拡張フィールド(v3_ca)
• 発行するクライアント証明書の拡張フィールド(v3_client)

設定はMacOS全体に影響する大元のファイルを壊さないよう、作業ディレクトリにopensslの設定ファイルをコピーして追加します。

• openssl.cnfをコピーする

cp /etc/ssl/openssl.cnf .

• コピーしたopenssl.cnfに以下のセッションを追加する

[ v3_ca ]
subjectKeyIdentifier=hash
authorityKeyIdentifier=keyid:always,issuer
basicConstraints = critical,CA:true
keyUsage = cRLSign, keyCertSign

[ v3_client ]
basicConstraints = CA:FALSE
keyUsage = digitalSignature, keyEncipherment
extendedKeyUsage = clientAuth

(b) 自己認証局(CA)の証明書作成
秘密鍵を利用し、自己認証局(CA)の証明書を作成します。
証明書の有効期間は1年としています。
また証明書に設定する認証局の識別情報は以下の設定にしています。

要素	説明	CAの設定値	備考
C (Country)	国名コード	JP
ST (State/Province)	都道府県名	Tokyo
L (Locality)	市区町村名	Hoge-Ku
O (Organization)	組織名	NoppyCA
OU (Organizational Unit)	組織の部署名	なし	現在は非推奨らしい*1
CN (Common Name)	コモンネーム	なし

上記設定の自己認証局(CA)の証明書を以下のコマンドで生成します。

openssl req -x509 -new -sha256 -days 365 -extensions v3_ca \
    -config ./openssl.cnf \
    -key self-signed-ca-private-key.pem \
    -out self-signed-ca-cert.pem \
    -subj "/C=JP/ST=Tokyo/L=Hoge-Ku/O=NoppyCA/"

作成した証明書は以下のコマンドで内容を確認することができます。

openssl x509 -in self-signed-ca-cert.pem -text -noout

確認すると以下のような内容が出力されます。Issuerの設定や、Validityの起源が設定通りか確認します。

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number:
            df:f2:xx:xx:xx:xx:xx:xx
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: C=JP, ST=Tokyo, L=Hoge-Ku, O=NoppyCA
        Validity
            Not Before: Nov 16 10:52:37 2025 GMT
            Not After : Nov 14 10:52:37 2035 GMT
        Subject: C=JP, ST=Tokyo, L=Hoge-Ku, O=NoppyCA
        Subject Public Key Info:
以下略

クライアント証明書発行のためのCSR(証明書署名要求)作成

次に、クライアント側でクライアント証明書の発行を認証局(CA)に依頼するための、証明書署名要求(CSR: Certificate Signing Request)を作成します。
したの図の赤枠の部分になります。

openssl genrsa -out mac-client-private-key.pem 2048

openssl req -new \
    -key mac-client-private-key.pem \
    -out client-csr.pem \
    -subj "/C=JP/ST=Tokyo/L=Hoge-Ku/O=NoppyOrg/CN=noppymacbookair"

openssl req -in client-csr.pem -text -noout

CSR(証明書署名要求)を元に自己認証局(CA)でクライアント証明書を発行

ユーザーから渡された(というテイで)CSRの申請内容を元に、認証局(CA)の秘密鍵と証明書を使ってクライアント証明書を発行します。

コマンドは以下になります。
クライアント証明書は、有効期限 1年で作っています。

openssl x509 -req -CAcreateserial -days 365 -extensions v3_client \
    -extfile ./openssl.cnf \
    -in client-csr.pem \
    -CA self-signed-ca-cert.pem \
    -CAkey self-signed-ca-private-key.pem \
    -out mac-client-cert.pem

作成したクライアント証明書は以下のコマンドで確認します。

openssl x509 -in mac-client-cert.pem -text -noout

IAM Roles Anywhere: 信頼アンカーの作成

最初に、IAM Roles Anywhereの信頼アンカーを設定して、自己認証局(CA)とIAM Roles Anywhereの間の信頼関係を築きます。
具体的には、自己認証局(CA)の証明書を登録した新しい信頼アンカーを作成します。

以下、マネージメントコンソールの操作画面で説明します。

• IAMロールの画面から、Roles Anywhereの管理画面に遷移する

• 信頼アンカーを作成するボタンからアンカー作成を行う

• 信頼アンカーの作成
  • 以下の内容で信頼アンカーを作成する
    • 信頼アンカー名: noppy-self-signed-ca-anchor
    • 認証機関 (CA) ソース: 外部証明書バンドルを選択(ACMを利用する場合は、AWS証明書管理プライベートCAを選ぶ)
    • 外部証明書バンドル: 認証局の証明書(self-signed-ca-cert.pem)の中身を貼り付ける
    • 入力が完了したら、ページ右下の信頼アンカーを作成するボタンを押して作成する。

• 信頼アンカーのARNを記録する
  • 作成した信頼アンカーをクリックすると、信頼アンカーの詳細が表示される。
  • その中のARNをメモ帳か何かに控えておく
  • 信頼アンカーのARNは、IAMロールの信頼関係の設定で利用する

ロールを作成する

IAM Roles Anywhareで実行するIAMロールを作成します。
IAMロールは以下の設定を行う前提です。

• IAMロール名: noppy-mac-admin-role
• 許可ポリシー: AdministratorAccess

マネージメントコンソールのIAMロールの画面から操作を説明します。

• ロールを作成を実行する

• 信頼されたエンティティの選択
  • 信頼されたエンティティタイプ: AWSのサービスを選択
  • ユースケース: Roles Anywhereを選択

[w500]

• 許可を追加
  • AdministratorAccessポリシーを選択
• 名前、確認、および作成
  • ロール名に、noppy-mac-admin-roleを設定する。
  • ロールを作成でロールを作成する
• 作成したロールのARNをメモ帳などに控える
  • ロール一覧から作成したロールをクリックし詳細に移動する
  • ロール詳細画面のARN情報を控えておく

ロールの信頼関係に信頼アンカーのCondition句を追加する

特定の信頼アンカーの場合のみ許可するよう、作成したIAMロールの信頼関係にcondition句を追加します。

• ロール画面から今作成したnoppy-mac-admin-roleをクリックする
• 信頼関係のタブをおし、信頼ポリシーを編集で編集画面に移動する
• 信頼ポリシーに以下のように、Condition, ArnEquals, aws:SourceArn句を追加する

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "",
      "Effect": "Allow",
      "Principal": {
        "Service": "rolesanywhere.amazonaws.com"
      },
      "Action": [
        "sts:AssumeRole",
        "sts:SetSourceIdentity",
        "sts:TagSession"
      ],
      "Condition": {
        "StringEquals": {
          "aws:PrincipalTag/x509Issuer/O": "NoppyCA"  <== 自己認証局(CA)の証明書に設定した組織名
        },
        "ArnEquals": {
          "aws:SourceArn": "<作成した信頼アンカーのARN>"
        }
      }
    }
  ]
}

Roles Anywhereのプロファイルを作成する

最後に、Roles Anywhareのプロファイルを作成します。
プロファイルでは、以下を設定します。

• プロファイル名: noppy-noppy-mac-admin-profile
• ロール: noppy-mac-admin-role
• Session duration: 1 hour ※デフォルト設定

マネージメントコンソールのRoles Anywhereの画面から操作を説明します。

• プロファイルを作成ボタンから作成を行う

• 以下を入力してプロファイルを作成する。
  • プロファイル名: noppy-noppy-mac-admin-profile
  • ロール: noppy-mac-admin-role

aws_signing_helperでの動作確認

まずは、aws_signing_helperを単独で実行して一時認証情報が取得できるか確認します。

必要な情報は以下になります。

• クライアント証明書のファイルパス: ./mac-client-cert.pem
• クライアントの秘密鍵のファイルパス: ./mac-client-private-key.pem
• 信頼アンカーのARN
• プロファイルのARN
• IAMロールのARN

実行例は以下のとおりです。実行して画面に一時認証情報としてAccessKeyId、SecretAccessKey、SessionTokenが表示されれば認証は成功です。

aws_signing_helper credential-process \
    --certificate ./mac-client-cert.pem \
    --private-key ./mac-client-private-key.pem \
    --trust-anchor-arn "<信頼アンカーのARN>" \
    --profile-arn "<プロファイルのARN>" \
    --role-arn "<IAMロールのARN>"

クライアントの秘密鍵と証明書をmacOSのキーチェーンに保管して安全に利用する

秘密鍵やクライアント証明書は、フォルダのなかに格納したままにせず、macOSのキーチェーンに保管するのがセキュリティ上望ましいです。
ここでは以下のユーザーガイドに記載されているmacOSキーチェーンと統合してaws_signing_helper を利用する手順を説明します。

• Get temporary security credentials from IAM Roles Anywhere - IAM Roles Anywhere

openssl pkcs12 -export \
    -inkey ./mac-client-private-key.pem \
    -in ./mac-client-cert.pem \
    -out mac-client.pfx

カスタムキーチェーンを作成する

ユーザーガイドの説明にしたがってカスタムキーチェーンを作成します。

CREDENTIAL_HELPER_KEYCHAIN_PASSWORD="<ログインパスワード>"

security create-keychain -p ${CREDENTIAL_HELPER_KEYCHAIN_PASSWORD} credential-helper.keychain
security unlock-keychain -p ${CREDENTIAL_HELPER_KEYCHAIN_PASSWORD} credential-helper.keychain
EXISTING_KEYCHAINS=$(security list-keychains | cut -d '"' -f2) security list-keychains -s credential-helper.keychain $(echo ${EXISTING_KEYCHAINS} | awk -v ORS=" " '{print $1}')

command + スペースで、キーチェーンで検索し、「キーチェーンアクセス」を開くと作成したcredential-helperが表示されているのが確認できると思います。

UNWRAPPING_PASSWORD="<PFXファイル作成時に指定したパスワード>"

security import ./mac-client.pfx -T ~/bin/aws_signing_helper -P ${UNWRAPPING_PASSWORD} -k credential-helper.keychain

aws_signing_helper credential-process \
    --trust-anchor-arn "<信頼アンカーのARN>" \
    --profile-arn "<プロファイルのARN>" \
    --role-arn "<IAMロールのARN>"