2022年6月22日水曜日

Terraform で AWS の管理コンソールにログインできる IAM ユーザーを作成する

前提

  • Docker: Docker version 20.10.17, build 100c70180f
  • Terraform: Terraform v1.2.3
    • 使用する Docker イメージ: hashicorp/terraform:1.2.3
  • Terraform の tfstate を記録しておくための S3 バケットを作成済み
    • 今回は mikoto2000-terraform-user-admin という名前で作成した

今回作るユーザーたち

今回 Terraform で作成するユーザーは以下の通り。

ユーザー ロール
rookie0001 新人。EC2 利用者
rookie0002 新人。EC2 利用者
rookie0003 新人。EC2 利用者

AWS 側の設定

Terraform が使用するユーザーの追加

  1. 管理用ユーザーを追加
    • ユーザー名 : user-admin
    • AWS 認証情報タイプを選択 : アクセスキー - プログラムによるアクセス
  2. アクセス許可の設定
    1. 既存のポリシーを直接アタッチ を選択
    2. IAMFullAccessAmazonS3FullAccess をチェック

ユーザー追加完了画面の アクセスキー IDシークレットアクセスキー をメモ。

Terraform を使用するための準備

コンテナ起動

docker run -it --rm --name terraform -v "$(pwd):/work" --workdir /work --entrypoint sh hashicorp/terraform

必須パッケージインストール

IAM ユーザー作成で使用するツールをインストールする。

apk add gnupg jq
  • gnupg: 暗号化された初期パスワードを受け取るため、公開鍵を利用する。そのために必要なもの。
  • jq: Terraform からの出力をパースするために利用。

公開鍵作成

gpg2 コマンドで、公開鍵ペアを作成。

認証情報の暗号化と復号に使用する。

gpg2 --gen-key

作成した公開鍵を base64 エンコードして TF_VAR_user_admin_gpg_key の環境変数へ記録しておく。

Terraform がパスワードを暗号化するために利用する。

export TF_VAR_user_admin_gpg_key=$(gpg2 --export terraform-user-admin | base64 | tr -d '\n')

AWS 管理用の tf ファイルのたたき台作成

main.tf という名前で、 Terraform 用のファイルを作成。

terraform {
  # AWS を使いますよという定義
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 3.0"
    }
  }

  backend "s3" {
    bucket = "mikoto2000-terraform-user-admin"
    region = "ap-northeast-1"
    key = "terraform.tfstate"
  }
}

# AWS の設定
# アクセストークンとアスセスシークレットは、環境変数から取得する
provider "aws" {
  # リージョン
  region = "ap-northeast-1"
}

Terraform プロジェクトの初期化

export AWS_ACCESS_KEY_ID="xxxxxxxxxxxxxxxxxxxx"
export AWS_SECRET_ACCESS_KEY="yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy"

terraform init

接続確認

アクセスキー ID とシークレットアクセスキーが正しく設定されていれば、 terraform plan すると No changes. Your infrastructure matches the configuration. という情報が表示される。

terraform plan

ユーザー定義の作成

概要

「ユーザー定義をしてはい終了」というわけには行かず、以下のような順番でリソース定義をしていく。

  1. ユーザー定義(aws_iam_user)
    • 今回新規追加する 3 人のユーザーを定義
  2. ユーザーのログインプロファイル定義(aws_iam_user_login_profile)
    • 今回新規追加する 3 人のユーザーの初期パスワードを作成
  3. グループ定義(aws_iam_group)
    • 「新人グループ」を作成
  4. グループポリシー定義(aws_iam_group_policy_attachment)
    • 「新人グループ」に「EC2 を自由に使える権限」を付与
  5. ユーザーをグループに所属させるための定義(aws_iam_group_membership)
    • 今回新規追加する 3 人のユーザーを「新人グループ」に所属させる
  6. 初期パスワードを表示するためのアウトプット定義

gpg 公開鍵を渡すための変数を定義

ユーザーのログインプロファイルを作成するときに公開鍵を設定する必要がある。 その鍵を渡すための変数を定義。

# gpg 公開鍵を渡すための変数を定義
variable "user_admin_gpg_key" {}

Terraform 定義

今回作成した tf ファイルの最終形
terraform {
  # AWS を使いますよという定義
  required_providers {
    aws = {
      source  = "hashicorp/aws"
      version = "~> 3.0"
    }
  }

  backend "s3" {
    bucket = "mikoto2000-terraform-user-admin"
    region = "ap-northeast-1"
    key = "terraform.tfstate"
  }
}

# AWS の設定
# アクセストークンとアスセスシークレットは、環境変数から取得する
provider "aws" {
  # リージョン
  region = "ap-northeast-1"
}

# gpg 公開鍵を渡すための変数を定義
variable "user_admin_gpg_key" {}

locals {
  # 作成するユーザーのリスト(新人ユーザーリスト)
  rookies = [
    "rookie0001"
    , "rookie0002"
    , "rookie0003"
  ]
}

resource "aws_iam_user" "rookies" {
  # `rookies` の要素ごとに繰り返し定義するという設定
  for_each = toset(local.rookies)

  # ユーザー名。 rookies に定義した文字列が設定される
  name = "${each.value}"
}

resource "aws_iam_user_login_profile" "rookie" {
  # `aws_iam_user` で作成したユーザーごとに繰り返し定義するという設定
  # ここで `local.rookies` とかを指定してしまうと、
  # ユーザーがまだ作成されないうちにプロファイル定義を作ろうとして、
  # 「ユーザーがいません」って怒られることがある。
  for_each = aws_iam_user.rookies

  # 対象ユーザー
  user = "${each.value.name}"

  # 初期パスワードを暗号化するための公開鍵
  pgp_key = "${var.user_admin_gpg_key}"
}

resource "aws_iam_group" "rookies" {
  # グループ名
  name = "rookies"

  # 謎。 See: https://dev.classmethod.jp/articles/aws-iam-with-path/
  path = "/"
}

resource "aws_iam_group_policy_attachment" "AmazonEC2FullAccess-to-rookies" {
  # 付与対象のグループ
  group = aws_iam_group.rookies.name

  # 付与するポリシー
  policy_arn = "arn:aws:iam::aws:policy/AmazonEC2FullAccess"
}

resource "aws_iam_group_policy_attachment" "IAMUserChangePassword-to-rookies" {
  # 付与対象のグループ
  group = aws_iam_group.rookies.name

  # 付与するポリシー
  policy_arn = "arn:aws:iam::aws:policy/IAMUserChangePassword"
}

resource "aws_iam_group_membership" "rookies" {
  # グループメンバーシップ名
  name = "rookies"

  # グループに所属させるユーザーの、名前のリストを指定
  users = [for v in aws_iam_user.rookies: v.name]

  # 対象のグループを指定
  group = aws_iam_group.rookies.name
}

output "rookies_encrypted_initia_password" {
  # aws_iam_user_login_profile.rookie の定義ごとに繰り返し、
  # `user` と `encrypted_password` をセットで表示するように指定
  value = "${[for v in aws_iam_user_login_profile.rookie: tomap({
    "user_name" = v.user
    "encrypted_password" = v.encrypted_password}
  )]}"
}

今回作成するユーザーのユーザー名が格納されたリストを作成

やはり同じ権限の人は for 文的なもので作成するほうが良いのでその方針で行くとする。

それに利用するため、ユーザー名が格納されたリストを作成する。

locals {
  # 作成するユーザーのリスト(新人ユーザーリスト)
  rookies = [
    "rookie0001"
    , "rookie0002"
    , "rookie0003"
  ]
}

ユーザー定義

for_each を使用して、今回作成する 3 名分の aws_iam_user を定義する。

resource "aws_iam_user" "rookies" {
  # `rookies` の要素ごとに繰り返し定義するという設定
  for_each = toset(local.rookies)

  # ユーザー名。 rookies に定義した文字列が設定される
  name = "${each.value}"
}

ユーザーログインプロファイル定義

今回作成する 3 名分の aws_iam_user_login_profile を定義する。

resource "aws_iam_user_login_profile" "rookie" {
  # `aws_iam_user` で作成したユーザーごとに繰り返し定義するという設定
  # ここで `local.rookies` とかを指定してしまうと、
  # ユーザーがまだ作成されないうちにプロファイル定義を作ろうとして、
  # 「ユーザーがいません」って怒られることがある。
  for_each = aws_iam_user.rookies

  # 対象ユーザー
  user = "${each.value.name}"

  # 初期パスワードを暗号化するための公開鍵
  pgp_key = "${var.user_admin_gpg_key}"
}

Terraform からは、ここで指定した pgp_key を使用して暗号化された初期パスワードが返ってくる(後述)

ユーザーグループ定義

rookies グループを作成し、必要なポリシーを割り当てる。

ユーザーグループ定義

aws_iam_group を定義する。

resource "aws_iam_group" "rookies" {
  # グループ名
  name = "rookies"

  # 謎。 See: https://dev.classmethod.jp/articles/aws-iam-with-path/
  path = "/"
}

ユーザーグループへグループポリシーを割り当てる

aws_iam_group_policy_attachment を使って、先程定義した rookies グループにポリシーを付与する。

EC2 への全権限を付与

resource "aws_iam_group_policy_attachment" "AmazonEC2FullAccess-to-rookies" {
  # 付与対象のグループ
  group = aws_iam_group.rookies.name

  # 付与するポリシー
  policy_arn = "arn:aws:iam::aws:policy/AmazonEC2FullAccess"
}

自分のパスワードを変更するための権限を付与

resource "aws_iam_group_policy_attachment" "IAMUserChangePassword-to-rookies" {
  # 付与対象のグループ
  group = aws_iam_group.rookies.name

  # 付与するポリシー
  policy_arn = "arn:aws:iam::aws:policy/IAMUserChangePassword"
}

ユーザーをグループに所属させる

resource "aws_iam_group_membership" "rookies" {
  # グループメンバーシップ名
  name = "rookies"

  # グループに所属させるユーザーの、名前のリストを指定
  users = [for v in aws_iam_user.rookies: v.name]

  # 対象のグループを指定
  group = aws_iam_group.rookies.name
}

初期パスワードを表示するためのアウトプット定義

output "rookies_encrypted_initia_password" {
  # aws_iam_user_login_profile.rookie の定義ごとに繰り返し、
  # `user` と `encrypted_password` をセットで表示するように指定
  value = "${[for v in aws_iam_user_login_profile.rookie: tomap({
    "user_name" = v.user
    "encrypted_password" = v.encrypted_password}
  )]}"
}

実際に AWS にユーザーを作る

ドライラン

terraform plan で、どんなリソースが作成されるか確認。

terraform plan

リソース作成

terraform apply でリソースを作成する。

terraform apply --auto-approve

パスワードの復号

以下コマンドを組み合わせて、初期パスワードを取得する。

  1. terraform output で 「base64 済み・暗号化済みのパスワード」を取得
  2. base64 -d で base64 デコード
  3. gpg -r で復号

以下は、 rookie0001 の初期パスワード複合例。

# base64 エンコード済み、かつ、暗号化済みのパスワードが記載された json を取得
ENCRYPTED_PASSWORD=$(terraform output -json rookies_encrypted_initia_password | jq -r '.[0].encrypted_password')

# encrypted password を base64 デコードして復号
echo $ENCRYPTED_PASSWORD | base64 -d | gpg -r terraform-user-admin  2> /dev/null; echo

動作確認

rookie0001 でログインしてみる。

  1. AWS コンソールを開く -> IAM ユーザー 選択
    • アカウント ID: ルートユーザーのアカウント ID を入力
    • ユーザー名: rookie0001
    • パスワード: 前述の手順で取得したパスワードを入力
  2. パスワード変更画面が表示されるので、変更する
  3. 権限確認
    • EC2 のサービスを見てみる -> 普通に使用できる。無料枠の範囲内のインスタンスが無事たったことを確認
      • SSH 接続もできた
    • EC2 以外のサービスを見てみる -> アクセス許可がありません みたいな表示になって操作できない

今後のために

他の管理者が認証情報の復号をしたくなった際に復号できるように、(そんなことあるか???) 公開鍵ペアをエクスポートしてどこかに保存しておく。

gpg -o ./terraform-user-admin.public.gpg  --export terraform-user-admin
gpg -o ./terraform-user-admin.private.gpg --export-secret-key terraform-user-admin

後片付け

terraform destroy で作成したリソースを削除。

terraform destroy --auto-approve

以上。

これで「新人のスキルアップのためにアカウント欲しい」って言われたときにさくっとユーザー作れるかな?…どうだろう

参考資料

2022年6月10日金曜日

Tailscale を使ってみる

前提

  • OS1: Windows 11 Pro 21H2 ビルド 22000.675
  • OS2: Arch Linux 2022/6/8

Tailscale へのサインアップから、ひとつめのデバイス登録まで

Windows 11 Pro に Tailscale をインストールし、デバイスの登録を行う。

  1. Web ブラウザ https://login.tailscale.com/start へアクセス
    • 今回は GitHub で Sign up した
  2. Select Network 画面が表示されるので、使用するネットワークを選択
    • Single-user Tailnetmikoto2000 を選択
  3. Welcome! Let’s add your first device. 画面が表示されるので、 Windows のボタンを押下 -> Download Tailscale for Windows ボタン押下
  4. Download Tailscale 画面が表示されるので、 Download Tailscale for Windows ボタン押下でインストーラーをダウンロード
  5. tailscale-ipn-setup-1.26.0.exe を実行
    • デフォルトのまま Install ボタン押下 -> Close ボタン押下
  6. タスクトレイ内の Tailscale アイコン右クリック -> Log in...

これで、 Tailscale のネットワークに最初のデバイスが追加される。

DNS 設定

Tailscale ネットワークにぶら下がったデバイス間のアクセスがやりやすいように、 MagicDNS を使って名前解決するように設定する。

  1. Tailscale のログイン後画面 -> 左上のトップページへのリンクを選択 -> DNS
  2. DNS 画面になるので、必要な設定を行う
    1. Nameserver セクションの Add nameserver を選択 -> Cloudflare Public DNS を選択
      • MagicDNS で引っかからなかったホスト名を解決するために使う DNS, 必要に応じて IP を設定する
    2. MagicDNS セクションの Enable MagicDNS ボタンを押下

OK.

ふたつめのデバイス登録

Arch Linux を登録する。

  1. Web ブラウザ https://login.tailscale.com/start へアクセス
    • 今回は GitHub で Sign up した
  2. Select Network 画面が表示されるので、使用するネットワークを選択
    • Single-user Tailnetmikoto2000 を選択
  3. Machines 画面が表示されるので、 Download リンクを選択
  4. Download Tailscale 画面になるので、 Manually install on のプルダウンから Arch Linux を選択
    • 以下、表示された説明の通りコマンドを実行
      1. パッケージインストール
        • sudo pacman -S tailscale
      2. 自動起動設定、 --now で同時に起動も行う
        • sudo systemctl enable --now tailscaled
      3. Tailscale にデバイスを接続(登録)
        • sudo tailscale up
        • 表示される URL に Web ブラウザでアクセスし、ログイン

これで、 Tailscale のネットワークに Arch Linux がぶら下がる。

動作確認

ふたつめのデバイスからひとつめのデバイスに SSH 接続してみる。

ssh mikoto@mydesktoppc

ひとつめのデバイスに設定した接続情報でログインできる。

参考資料

2022年6月8日水曜日

Windows 11 Pro に sshd をインストールして公開鍵認証方式でログインする

前提

  • OS: Windows 11 Pro 21H2 ビルド 22000.675
  • GitHub に SSH 接続用の公開鍵を追加済み

OpenSSH サーバーのインストール

  1. Windows キー -> 設定アイコン -> アプリ -> オプション機能 -> 機能を表示 ボタン押下
  2. OpenSSH サーバー にチェックを入れて 次へ ボタン押下
  3. インストール ボタン押下

OpenSSH サーバーの設定

sshd サービスを自動起動に設定

PowerShell で以下コマンドを実行。

start-process -verb runas powershell -ArgumentList Set-Service,-Name,'sshd',-StartupType,'Automatic'

sshd サービスを起動

PowerShell で以下コマンドを実行。

start-process -verb runas powershell -ArgumentList Start-Service,-Name,'sshd'

GitHub の公開鍵を authorized_keys に追記

Invoke-WebRequest で取得し、 Out-File で追記する。

(Invoke-WebRequest https://github.com/mikoto2000.keys).Content | Out-File -FilePath ~/.ssh/authorized_keys -Encoding utf8 -Append

今回使うユーザーが、 Administrator グループに入っているため、 C:\ProgramData\ssh\authorized_keys が参照される。

そちらにコピーして権限を設定。

# authorized_keys コピー
start-process -verb runas powershell -ArgumentList Copy-Item,c:/Users/mikoto/.ssh/authorized_keys,c:/ProgramData/ssh/administrators_authorized_keys

# 権限設定
start-process -verb runas powershell -ArgumentList icacls,.\administrators_authorized_keys,/inheritance:r,/grant,Administrators:F,/grant,SYSTEM:F

デフォルトシェルを PowerShell へ変更

start-process -verb runas powershell -ArgumentList New-ItemProperty,-Path,"HKLM:\SOFTWARE\OpenSSH",-Name,DefaultShell,-Value,"C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe",-PropertyType,String,-Force

公開鍵認証のみを許可するように設定変更

  1. 管理者権限で開いたテキストエディタで c:\ProgramData\ssh\sshd_config を開き、以下修正を行う
    • #PasswordAuthentication yes -> PasswordAuthentication no
  2. sshd サービスリスタート
    • start-process -verb runas powershell -ArgumentList Restart-Service,-Name,'sshd'

動作確認

ssh mikoto@localhost

ログインできた、 OK.

以上。

参考資料

2022年6月1日水曜日

Langium で DSL と LSP サーバーを作る(2) AST をもとにコード生成を行う

前回 の続き。 AST からコード生成を行う。

目標

以下の定義を元に、

person mikoto {
    age: 18;
    rank: 1;
}

person makoto {
    age: 19;
    rank: 2;
}

person mokoto {
    age: 20;
    rank: 3;
}

以下のコードを生成する。

export type Person = {
    age : number;
    rank : number;
}

const mikoto : Person = {
    age: 18,
    rank: 1
}

const makoto : Person = {
    age: 19,
    rank: 2
}

const mokoto : Person = {
    age: 20,
    rank: 3
}

export const allPersons = [mikoto, makoto, mokoto];

前提

  • OS: Arch Linux
  • Docker: Docker version 20.10.16, build aa7e414fdc
  • 使用する Docker イメージ: node:18

作業用コンテナ起動

docker run -it --rm -v "$(pwd):/work" --workdir /work node:18 bash

DLS 開発(コード生成まで)

コード生成機能実装

src/cli/generator.ts を作成し、「person 定義ごとに定数を作り、全 person が含まれた配列を作成」というコードを生成する実装を行う。

src/cli/generator.ts

import fs from 'fs';
import { CompositeGeneratorNode, NL, processGeneratorNode } from 'langium';
import path from 'path';
import { Model } from '../language-server/generated/ast';
import { extractDestinationAndName } from './cli-util';

// Person 型の定義
const TYPE_PERSON = `export type Person = {
    age : number;
    rank : number;
}`;

export function generateTypeScript(model: Model, filePath: string, destination: string | undefined): string {
    const data = extractDestinationAndName(filePath, destination);
    const generatedFilePath = `${path.join(data.destination, data.name)}.ts`;

    // これから生成するファイルの内容を表すインスタンスを生成
    const fileNode = new CompositeGeneratorNode();

    // 型定義コードを追加
    // TYPE_REASON 定数と、改行をふたつ
    fileNode.append(TYPE_PERSON, NL, NL);

    // DSL の person 定義ごとに Person 型の定数を追加
    model.persons.forEach(person => {
        fileNode.append(`const ${person.name} : Person = {
    age: ${person.age},
    rank: ${person.age}
}`, NL, NL)
    });

    // 全 person が含まれた Array を追加
    const allPersons = model.persons.map(person => person.name).join(', ');
    fileNode.append(`export const allPersons = [${allPersons}];`);


    // 生成先ディレクトリがなければ作る
    if (!fs.existsSync(data.destination)) {
        fs.mkdirSync(data.destination, { recursive: true });
    }

    // 生成先にファイル書き出し
    fs.writeFileSync(generatedFilePath, processGeneratorNode(fileNode));

    // 生成したファイルのファイルパスを返却
    return generatedFilePath;
}

cli からコード生成機能を呼び出す実装を追加

src/cli/index.ts

diff --git a/src/cli/index.ts b/src/cli/index.ts
index e0a4230..40d2e4c 100644
--- a/src/cli/index.ts
+++ b/src/cli/index.ts
@@ -4,6 +4,14 @@ import { Model } from '../language-server/generated/ast';
 import { FirststepLanguageMetaData } from '../language-server/generated/module';
 import { createFirststepServices } from '../language-server/firststep-module';
 import { extractAstNode } from './cli-util';
+import { generateTypeScript } from './generator';
+
+export const generateAction = async (fileName: string, opts: GenerateOptions): Promise<void> => {
+    const services = createFirststepServices().Firststep;
+    const model = await extractAstNode<Model>(fileName, services);
+    const generatedFilePath = generateTypeScript(model, fileName, opts.destination);
+    console.log(colors.green(`TypeScript code generated successfully: ${generatedFilePath}`));
+};
 
 export const testAction = async (fileName: string, opts: GenerateOptions): Promise<void> => {
     const services = createFirststepServices().Firststep;
@@ -24,6 +32,13 @@ export default function(): void {
         .version(require('../../package.json').version);
 
     const fileExtensions = FirststepLanguageMetaData.fileExtensions.join(', ');
+    program
+        .command('generate')
+        .argument('<file>', `source file (possible file extensions: ${fileExtensions})`)
+        .option('-d, --destination <dir>', 'destination directory of generating')
+        .description('generates TypeScript code that all Person array.')
+        .action(generateAction);
+
     program
         .command('test')
         .argument('<file>', `source file (possible file extensions: ${fileExtensions})`)
@@ -32,3 +47,4 @@ export default function(): void {
 
     program.parse(process.argv);
 }

相対パスでファイルを指定するとデータ名が空になる問題の修正

src/cli/cli-util.ts を修正。

diff --git a//src/cli/cli-util.ts b//src/cli/cli-uti
l.ts
index 53f6a94..b67cab6 100644
--- a//src/cli/cli-util.ts
+++ b//src/cli/cli-util.ts
@@ -43,7 +43,7 @@ interface FilePathData {
 }
 
 export function extractDestinationAndName(filePath: string, destination: string | undefined): FilePathDat
a {
-    filePath = filePath.replace(/\..*$/, '').replace(/[.-]/g, '');
+    filePath = path.basename(filePath, path.extname(filePath)).replace(/[.-]/g, '');
     return {
         destination: destination ?? path.join(path.dirname(filePath), 'generated'),
         name: path.basename(filePath)

ビルド

npm run build

コード生成動作確認

「目標」で示した DSL 定義ファイルを作成し、コード生成を行う。

cat << EOF >> test.firststep
person mikoto {
    age: 18;
    rank: 1;
}

person makoto {
    age: 19;
    rank: 2;
}

person mokoto {
    age: 20;
    rank: 3;
}
EOF

node bin/cli generate -d ./generated_code ./test.firststep

これで、 generated_code/test.ts が生成される。

# cat generated_code/test.ts
export type Person = {
    age : number;
    rank : number;
}

const mikoto : Person = {
    age: 18,
    rank: 18
}

const makoto : Person = {
    age: 19,
    rank: 19
}

const mokoto : Person = {
    age: 20,
    rank: 20
}

export const allPersons = [mikoto, makoto, mokoto];

今回はここまで。

参考資料