• Memo/AmazonWebServices/awscli/backup
• Memo/AmazonWebServices/awscli/ce
• Memo/AmazonWebServices/awscli/CloudWatch
• Memo/AmazonWebServices/awscli/DynamoDB
• Memo/AmazonWebServices/awscli/EC2
• Memo/AmazonWebServices/awscli/elb
• Memo/AmazonWebServices/awscli/error
• Memo/AmazonWebServices/awscli/parallel
• Memo/AmazonWebServices/awscli/RDS
• Memo/AmazonWebServices/awscli/route53
• Memo/AmazonWebServices/awscli/S3
• Memo/AmazonWebServices/awscli/v2

---

awscli : AWS公式 CUIクライアント †

• 記事
  • AWS CLI のコマンド実行を補助する「aws-shell」の紹介 – サーバーワークスエンジニアブログ
  • よく使う aws-cli 「私的」コマンドチートシートとか jq の使い方とか - ようへいの日々精進 XP
  • AWS Command Line Tool Python版 ｜ Developers.IO
  • Amazon Web Services ブログ: 【AWS発表】 新しいAWS コマンドラインインターフェース (CLI) が正式リリース

• AWS コマンドラインインターフェイス | アマゾン ウェブ サービス（AWS 日本語） Amazon製
  • Python 2.6.3 or later
  • CentOS6.x にインストール

    yum install python python-setuptools
    easy_install pip
    pip install awscli
    
    aws --profile default configure
    AWS Access Key ID [None]: ****
    AWS Secret Access Key [None]: ****
    Default region name [None]: us-east-1
    Default output format [None]: json, table, text から一つ選択
    
    # ヘルプ
    aws help

  • CentOS5.x

    yum install python26 python26-setuptools
    easy_install-2.6 pip
    pip2.6 install awscli

---

複数アカウント、リージョンの選択 †

• aws configからprofile nameだけを抽出。-PオプションはGNU grepのみ対応。macOSでは別途インストールが必要

  # pecoでCUIで選択させる
  AWS_PROFILE=$(grep -o -P '(?<=\[profile )[^\]]+' ~/.aws/config | peco)
  
  # 同様にregionも選択させる
  AWS_REGION=$(aws ec2 describe-regions --profile $AWS_PROFILE --query Regions[].RegionName --output text | tr '\t' '\n' | peco)

---

alias: 長いコマンドに短い別名を付ける †

• Creating and using AWS CLI aliases - AWS Command Line Interface
• awscli 1.11.24以降で使える。awscli v2でも使えた
• aliasは全て引き継がれない
• 環境変数は引き継がれる

• 関数内でexport VAR1としても、同一関数内のみ使用可能。aws aliasの別関数や、外部からは参照できない。代替案として、ファイルに変数を出力すれば、別alias関数からでも参照可能
• 関数内でalias設定しても、次の行では参照されない。参照したいコマンドはeval "command" とする必要がある。
  • 例えばmacOSで、GNU grepを使いたい場合、「brew install grep」でggrepとしてインストールされる。これを使いたい。
• region取得等、余り更新が無い情報はキャッシュする等すれば早くなる。「stat -c %Z cache-file」でunixtimeが取得できる

Example:

• awslabs/awscli-aliases: Repository for AWS CLI aliases.

• 登録済みaliasの確認

  aws alias

• サンプル
  • https://github.com/tmor/misc-pub/blob/master/aws/cli/alias
    • pecoでcuiを使って、profile, regionを選択可能にした。マルチアカウント、マルチリージョンの場合は便利かもしれない。

• 記事
  • Linuxでシェル間の設定の引継ぎを蛇足感満載で確認した - Qiita
  • [Tips] AWS CLI でネームタグを一撃で取得する | DevelopersIO
  • AWS CLIにalias機能が追加されました | DevelopersIO

---

MFAを使う †

• 記事
  • AWS CLI 経由で MFA を使用してアクセスを認証する
  • AWS CLIからのMFA(多要素認証)を楽にするツール(aws-mfa)を使ってみた - Qiita

• awscli v2でもひと手間かかる

  cat ~/.aws/config
  [profile example]
  output = json
  region = ap-northeast-1
  
  aws configure --profile example
  
  aws sts get-session-token \
    --serial-number arn:aws:iam::123456789012:mfa/example-user01 \
    --token-code 12345 \
    --profile example > ~/.aws/example.session1.json
  
  export AWS_ACCESS_KEY_ID=$(jq -r '.Credentials.AccessKeyId' ~/.aws/example.session1.json)
  export AWS_SECRET_ACCESS_KEY=$(jq -r '.Credentials.SecretAccessKey' ~/.aws/example.session1.json)
  export AWS_SESSION_TOKEN=$(jq -r '.Credentials.SessionToken' ~/.aws/example.session1.json)

---

API Gateway連携で独自CLIコマンドを追加 †

• 記事
  • 【趣味の工作】AWS CLIに自前Web APIへのアクセス機能を追加する | Developers.IO

---

長いARNを使う †

ECSを使う時に、以下のエラーが出る事がある。
昔はroot userのみだったが、今はIAM userでadmin権限があれば変更できる。

Long arn format must be enabled for ECS managed tags

• put-account-setting-default — AWS CLI 1.16.291 Command Reference

• long arnを使えるように変更

  aws ecs put-account-setting-default --name serviceLongArnFormat --value enabled --profile example
  aws ecs put-account-setting-default --name taskLongArnFormat --value enabled --profile example
  aws ecs put-account-setting-default --name containerInstanceLongArnFormat --value enabled --profile example

• terraformではissueで提案されているが、専用リソースはまだない
  • Support for account settings flags · Issue #10168 · terraform-providers/terraform-provider-aws

--debug: デバッグ †

• 記事
  • 【小ネタ】AWSのプロが aws cli を使う方法 (debug オプション) ｜ Developers.IO

---

リージョン一覧 †

• describe-regions — AWS CLI 1.16.205 Command Reference
  • 最小限の権限で動作し、公開しても良い情報が取得できる。
  • EC2 instance profile にこの権限だけを付与すると、動作確認に使える。

• リージョン一覧の取得

  aws ec2 describe-regions --profile example

• 記事
  • [アップデート] EC2のDescribeRegionsで無効化リージョンも含めた一覧が取得できるようになりました ｜ DevelopersIO

---

現在のIAM userの確認 †

• get-user — AWS CLI 1.16.190 Command Reference
  • AssumeRoleを使っている場合は、元アカウントを指定する

---

設定済みprofileから各項目の取得 †

• exampleの設定から、取得: aws_access_key_id, aws_secret_access_key, region, output

  aws configure get aws_access_key_id --profile example

• 記事
  • aws configureのサブコマンドから、設定済みのアクセスキーを手軽に取得する ｜ DevelopersIO

---

差分表示 †

• 記事
  • AWS CLI で describe した JSON の diff でイライラしないために！　dictknife normalize を使おう ｜ DevelopersIO

---

補完 †

• 記事
  • 【TAB補完】BASH Complete と fzf で「ぼくのかんがえたさいきょうの AWS_PROFILE 環境変数設定環境」をつくる【メニュー選択】 ｜ DevelopersIO

---

pricing: 価格を取得する †

• pricing — AWS CLI 1.16.96 Command Reference

• 記事
  • AWS CLIにpricingコマンドが追加されました ｜ DevelopersIO

---

canonical user ID(正式ID)の確認方法 †

AWS management consoleから、S3 bucketに別AWSアカウントへのアクセス権限を追加した場合に必要になる。

• IAM userの場合

  AWS_PROFILE=example
  aws s3api list-buckets --profile $AWS_PROFILE| jq -r .Owner.ID

• 記事
  • AWSのcanonical user IDの調べ方 - Qiita

---

AWSアカウントIDとARNの確認 †

aws sts get-caller-identity --profile default

{
    "Account": "1234567890",
    "UserId": "AIDXXXXXX",
    "Arn": "arn:aws:iam::1234567890:user/username"
}

---

~/.aws/config から ~/.aws/credentials を生成する †

• /.aws/config にクレデンシャル等もまとめてある状態から ~/.aws/credentials を生成したい場合

  cp ~/.aws/config ~/.aws/credentials
  perl -p -i -e "s/profile\s+|^output.+[\r\n]|^region.+[\r\n]|^signature_version.+[\r\n]//g" ~/.aws/credentials

---

リザーブドインスタンスの価格一覧取得 †

• 何もオプションを付けないと大量のリスト取得のため、30秒以上レスポンスが返ってこない。

• EC2で m3.large インスタンス のリスト取得

  aws ec2 describe-reserved-instances-offerings \
    --profile default \ # AWS profile
    --region ap-northeast-1 \ # 東京リージョン
    --instance-tenancy default \ # デフォルトか、ハードウェア専用か
    --offering-type "Partial Upfront" \ # 一部前払い(以前の重度利用)
    --offering-class standard \ 3年の場合はConvertibleも選べる
    --max-duration 31536000 \ # 1年
    --filters "Name=product-description,Values=Linux/UNIX,Linux/UNIX (Amazon VPC)" "Name=scope,Values=Region" \ # Linuxのみ
    --instance-type m3.large \
    --output json
  
  {
      "ReservedInstancesOfferings": [
          {
              "OfferingClass": "standard",
              "OfferingType": "Partial Upfront",
              "ProductDescription": "Linux/UNIX",
              "InstanceTenancy": "default",
              "PricingDetails": [],
              "UsagePrice": 0.0,
              "RecurringCharges": [
                  {
                      "Amount": 0.058000000000000003,
                      "Frequency": "Hourly"
                  }
              ],
              "Marketplace": false,
              "CurrencyCode": "USD",
              "FixedPrice": 463.0,
              "Duration": 31536000,
              "Scope": "Region",
              "ReservedInstancesOfferingId": "7875a3da-c41e-40bc-8f81-7e155f5bab77",
              "InstanceType": "m3.large"
          },
          {
              "OfferingClass": "standard",
              "OfferingType": "Partial Upfront",
              "ProductDescription": "Linux/UNIX (Amazon VPC)",
              "InstanceTenancy": "default",
              "PricingDetails": [],
              "UsagePrice": 0.0,
              "RecurringCharges": [
                  {
                      "Amount": 0.058000000000000003,
                      "Frequency": "Hourly"
                  }
              ],
              "Marketplace": false,
              "CurrencyCode": "USD",
              "FixedPrice": 463.0,
              "Duration": 31536000,
              "Scope": "Region",
              "ReservedInstancesOfferingId": "fbc08497-fd12-4bb0-a03b-5e0955899527",
              "InstanceType": "m3.large"
          }
      ]
  }

---

CloudFront †

• cloudfront

• 記事
  • 既存CloudFrontの設定をコピーして新規作成する ｜ Developers.IO

• aws cli ではpreview版なので有効化

  aws configure set preview.cloudfront true
  # または
  echo -e "[preview]\ncloudfront = true" >> ~/.aws/config

---

SES †

• Amazon SESとは
• ses - AWS CLI

• EMAILアドレスの検証。サンドボックスでのメール送信前にFROMとTOアドレスをこれで登録する必要がある。

  grep -v -P '^\s*$' ses-verify-email.txt | xargs -i aws --profile <AWS PROFILE> --region <AWS REGION> ses verify-email-identity --email-address {}

---

EMR †

• 稼働中のEMRクラスタの一覧

  aws --region ap-northeast-1 list-clusters --active

• EMRクラスタの強制終了

  aws --region ap-northeast-1 emr terminate-clusters --cluster-ids j-xxxxxxxx

---

スケジュールイベントの取得 †

• describe-instance-status - ec2
• describe-events - rds
• describe-events - elasticache

• 全リージョンのEC2, RDS, ElastiCacheイベントをjsonとして出力

  AWS_PROFILE=default
  for region in $(aws --profile $AWS_PROFILE ec2 describe-regions --query "Regions[].[RegionName]" --output text); do \
  aws --profile $AWS_PROFILE --region $region ec2 describe-instance-status --filters "Name=event.code,Values=*" --query "InstanceStatuses[].{InstanceId:InstanceId, Events:Events}" --output json > $AWS_PROFILE.$region.ec2.events.json ; \
  aws --profile $AWS_PROFILE --region $region rds describe-events > $AWS_PROFILE.$region.rds.events.json ; \
  aws --profile $AWS_PROFILE --region $region elasticache describe-events > $AWS_PROFILE.$region.elasticache.events.json ; \
  done

• EC2のCompleted以外のイベントを表示。除外したい文字列の場合「==false」または「|not」が使える。

  cat *.ec2.events.json | jq '.[]|select(.Events[].Description|contains("Completed")==false)'

• RDSのイベントを表示

  cat *.rds.events.json

• ElastiCacheのイベントを表示

  cat *.elasticache.events.json

---

EC2のスケジュールイベントをtsv形式で出力 †

• 全リージョンのEC2イベントをtsv形式でファイルに出力
• InstanceIDからInstane Tag:Nameの取得も行う

  AWS_PROFILE=default
  for region in $(aws --profile $AWS_PROFILE ec2 describe-regions --query "Regions[].[RegionName]" --output text); do \
  export region AWS_PROFILE; \
  aws ec2 describe-instance-status \
    --region $region \
    --profile $AWS_PROFILE \
    --filters "Name=event.code,Values=*" --query 'sort_by(InstanceStatuses[].[InstanceId,Events[0].Code,Events[0].NotBefore,Events[0].NotAfter],&[2])' --output text \
    | xargs -I{} bash -c 'line="{}"; \
    id=$(echo $line|cut -d" " -f1); \
    name=$(aws ec2 describe-instances --region $region --profile $AWS_PROFILE --instance-ids $id --query "Reservations[].Instances[].[Tags[?Key==\`Name\`].Value|[0]]" --output text); \
  echo -e "$AWS_PROFILE\t$region\t$name\t$line\t"' | sort > $AWS_PROFILE.$region.ec2.events.tsv ; \
  done

• サイズが0byteのtsvを削除

  find . -type f -name '*.tsv' -size 0c -delete

---

タグ付け †

リソース指定方法や、タグの書式が違う。

• aws-cli/1.3.2
• EC2

  aws --profile test-user ec2 create-tags \
   --region us-east-1 \
   --resources i-xxxxxx01 i-xxxxxx02 \
   --tags Key=MY-KEY,Value=MY-VALUE

• RDS

  aws --profile test-user rds add-tags-to-resource \
   --region us-east-1 \
   --resource-name arn:aws:rds:us-east-1:1234567890:db:MY-RDS-01 \
   --tags Key=MY-KEY,Value=MY-VALUE

• S3

  aws --profile test-user s3api put-bucket-tagging \
   --region us-east-1 \
   --bucket mybucket \
   --tagging '
  {
    "TagSet": [
      {
        "Key": "MY-KEY",
        "Value": "MY-VALUE"
      }
    ]
  }'

---

SSL証明書を管理 †

今ではACMを使った方が良い。

• Classic Load Balancer の SSL 証明書の置き換え

• IAMにアップロードされているSSL証明書の一覧

  aws iam list-server-certificates
  
  {
      "ServerCertificateMetadataList": [
          {
              "Path": "/", 
              "Arn": "arn:aws:iam::000000000000:server-certificate/example.com", 
              "ServerCertificateId": "XXXXXXXXXXXXXXXXXXXXX", 
              "ServerCertificateName": "example.com", 
              "UploadDate": "2014-01-02T03:40:50Z"
          }
      ]
  }

• ELBのリスナーで使用されているSSL証明書の一覧

  aws elb describe-load-balancers \
   --query "LoadBalancerDescriptions[].[LoadBalancerName,ListenerDescriptions[].Listener[].SSLCertificateId]" \
   --region us-east-1
  
  [
      [
          "example.com",
          [
              "arn:aws:iam::000000000000:server-certificate/example.com"
          ]
      ]
  ]

• IAMにSSL証明書をアップロード。名前は「ドメイン.期限」としておけば分かりやすい。ホームディレクトリにファイルがある場合は file://~/file.key 。ARNをメモしておく

  aws iam upload-server-certificate \
    --server-certificate-name example.com.20170101 \
    --certificate-body file://example.com.20170101.crt \
    --private-key file://example.com.20170101.key.nopass \
    --certificate-chain file://certificate_chain_file.crt

• ELBにHTTPSリスナーを追加する場合

  ARN="arn:aws:iam::012345678901:server-certificate/production/newCert"
  aws --region ap-northeast-1 \
   elb create-load-balancer-listeners \
   --load-balancer-name elb01 \
   --listeners Protocol=HTTPS,LoadBalancerPort=443,InstanceProtocol=HTTP,InstancePort=80,SSLCertificateId=$ARN

• ELBのSSL証明書を更新する場合

  ARN="arn:aws:iam::012345678901:server-certificate/production/newCert"
  aws --region ap-northeast-1 \
   elb set-load-balancer-listener-ssl-certificate \
   --load-balancer-name elb01 \
   --load-balancer-port 443 \
   --ssl-certificate-id $ARN

• IAMからSSL証明書を削除する場合。ELBで使用中でも削除できるので注意

  aws iam delete-server-certificate \
    --server-certificate-name example.com

• SSL証明書を更新したら、ツールで検証する

---

ec2 cliとaws cliの速度比較 †

• ec2 cliはjavaベースなので毎回JVMを起動する分遅いと思われる
• aws cliはpythonベース

• サンプルスクリプト
  • File not found: "ec2cli_vs_awscli.sh" at page "Memo/AmazonWebServices/awscli"[添付]
• ec2 cliとaws cliを5回ずつ呼んだ結果。毎回5秒のwait。7回以上は Web Service Call Limits にひっかかり、ある程度waitをいれないと値が取れない

  # CentOS 6.3
  
  # ec2 cli (java 1.6.0_24)
  bash ec2cli_vs_awscli.sh i-xxxxxxxx ec2 5
  ...
  Elapsed time: 30.725 sec.
  
  # aws cli (python 2.6.6)
  bash ec2cli_vs_awscli.sh i-xxxxxxxx aws 5
  ...
  Elapsed time: 26.984 sec.

---

--query : 要素の検索と出力項目指定 †

jqなしでもそれなりに使える。

• Controlling Command Output from the AWS Command Line Interface - AWS Command Line Interface
  • JMESPath Tutorial — JMESPath オンラインで試せる
  • --filtersで検索対象を指定し、--queryで出力項目を指定する

• jp jmespathのCLI

• 記事
  • AWS CLIの利用方法まとめ（主にqueryオプションとTips） - YOMON8.NET
  • jq と JMESPath を同時に覚える | TECHSCORE BLOG
  • aws-cli で使える query = jmespath をガッツリ使い込む | cloudpack技術情報サイト
  • AWS CLIのフィルターとクエリーの使い方についてまとめてみた ｜ Developers.IO

• [*] は [] に省略できる

• length:() 要素の個数

  aws s3api list-multipart-uploads --bucket $S3_BUCKET --profile $AWS_PROFILE --region $AWS_REGION --query 'length(Uploads)'
  # または
  --query 'Uploads | length(@)'

• 結果に改行の有無を指定する方法が分からない

  # 結果に改行が付かず、grepが効かない。
  aws ... --output text --query 'TableNames[]' | grep 'hoge'
  
  # jqを使うと正常動作
  aws ... --output json | jq -r '.TableNames[]' | grep 'hoge'

• 配列内の値を出力。「|[0]」を使う。

  # 通常
  aws rds describe-reserved-db-instances-offerings \
    --region ap-northeast-1 \
    --duration 1 \
    --max-items 1 \
    --query 'ReservedDBInstancesOfferings[].[DBInstanceClass,RecurringCharges]'
  
  [
      [
          "db.t1.micro",
          [
              {
                  "RecurringChargeAmount": 0.023,
                  "RecurringChargeFrequency": "Hourly"
              }
          ]
      ]
  ]
  
  # "|[0]" 指定
  aws rds describe-reserved-db-instances-offerings \
    --region ap-northeast-1 \
    --duration 1 \
    --max-items 1 \
    --query 'ReservedDBInstancesOfferings[].[DBInstanceClass,RecurringCharges[].RecurringChargeAmount|[0]]'
  
  [
      [
          "db.t1.micro",
          0.023
      ]
  ]

• EC2からTag Name : my-host-01 のインスタンスIDを取得する

  aws ec2 describe-instances --filters "Name=tag-key,Values=Name" \
    "Name=tag-value,Values=my-host-01" \
    --query "Reservations[*].Instances[*].InstanceId" \
    --output table
  
  -------------------
  |DescribeInstances|
  +-----------------+
  |  i-xxxxxxxx     |
  +-----------------+

• {...}でjson出力時のkeyの別名(alias)を指定できる。別名を使うときは出力する全てのキーに別名を付ける
  • 例：VolumeIdにIDという別名を付ける

    aws ec2 describe-volumes --query 'Volumes[*].{ID:VolumeId,AZ:AvailabilityZone,Size:Size}'
    
    [
        {
            "AZ": "ap-northeast-1a", 
            "ID": "vol-xxxxxxxx", 
            "Size": 8
        }, 
        {
            "AZ": "ap-northeast-1b", 
            "ID": "vol-xxxxxxxx", 
            "Size": 8
        }
    ]

• 複数の項目を指定して列挙する
  • 親階層の列挙時に、子階層のアイテムは参照できる。
  • 子階層の列挙時に、親階層のアイテムは参照できない。
  • 例：ELBを列挙して、DNSNameとInstanceIdを表示

    aws elb describe-load-balancers \
      --query "LoadBalancerDescriptions[].[DNSName,Instances[].InstanceId]"
    
    [
        [
            "example1-0000000000.ap-northeast-1.elb.amazonaws.com", 
            [
                "i-xxxxxxxx", 
                "i-xxxxxxxx"
            ]
        ], 
        [
            "example2-0000000000.ap-northeast-1.elb.amazonaws.com", 
            [
                "i-xxxxxxxx"
            ]
        ]
    ]

    • 子階層の列挙時に、親階層のアイテム参照は値が取れずnullになる

      aws elb describe-load-balancers \
        --query "LoadBalancerDescriptions[].Instances[].[LoadBalancerDescriptions[].DNSName,InstanceId]"
      
      [
          [
              null,
              "i-xxxxxxxx"
          ], 
          [
              null,
              "i-xxxxxxxx"
          ]
      ]

• ELBでSSLCertificateIdを列挙。(SSL証明書更新時に、どのELBがSSL Listener持っているのかを調べる時など)

  aws elb describe-load-balancers \
   --query "LoadBalancerDescriptions[].[LoadBalancerName,ListenerDescriptions[].Listener[].SSLCertificateId]"
  
  [
      [
          "example1", 
          [
              "arn:aws:iam::000000000000:server-certificate/example.com"
          ]
      ] 
  ]

---

複数のプロファイルを使い分ける †

• Configuring the AWS Command Line Interface - AWS Command Line Interface

• profile名を指定して生成

  aws --profile test-user configure

• /.aws/config

  [default]
  aws_access_key_id=AKIAIOSFODNN7EXAMPLE
  aws_secret_access_key=wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY
  region=us-east-1
  
  [profile test-user]
  aws_access_key_id=AKIAI44QH8DHBEXAMPLE
  aws_secret_access_key=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
  region=us-west-2

• 実行

  aws --profile test-user s3 ls s3://mybucket

• 環境変数を指定する方法

  export AWS_CONFIG_FILE=~/.aws/config
  export AWS_DEFAULT_REGION=us-west-2
  export AWS_ACCESS_KEY_ID=AKIAI44QH8DHBEXAMPLE
  export AWS_SECRET_ACCESS_KEY=je7MtGbClwBF/2Zp9Utk/h3yCo8nvbEXAMPLEKEY
  export AWS_DEFAULT_OUTPUT=text

keypairのフィンガープリント確認 †

• Amazon EC2 のキーペア - Amazon Elastic Compute Cloud

AWS ManagementConsoleのkeypairとローカルファイル(pem)を比較する場合

openssl pkcs8 -in ~/.ssh/example.pem -inform PEM -outform DER -topk8 -nocrypt | openssl sha1 -c

---

legacy †

javaだったりruby製だったりした。

---

タグ付け †

• インスタンス、AMI、EBS等にタグを設定できる。「i-xxxxxxxx vol-xxxxxxxx」等複数同時に設定できる

• インスタンスにNameタグを付けるとManagementConsoleで名前に表示できる

  ec2-create-tags i-xxxxxxxx --tag "Name=host1.example.com"

• EBSでもNameタグを付けるとManagementConsoleで名前に表示できる

  ec2-create-tags vol-xxxxxxxx --tag "Name=host1.example.com"