AWS(Amazon Web Services) †

• Amazon Web Services Guide — Ansible Documentation

• Amazon - Cloud modules

• 記事
  • Using Ansible on AWS EC2インスタンスを作成する ｜ Developers.IO

CloudFormationのyamlの読み込み †

• 組み込み関数リファレンス - AWS CloudFormation

• yaml中の「!Ref」「!Sub」といったCloudFormationの短縮形があると以下のエラーが出て読めない。

  could not determine a constructor for the tag '!Ref'\n  in \"<unicode string>

• vars.yml:

    template_body: "{{ lookup('file','cloudformation/example.yml') | from_yaml }}"

• 置換する。関数によって「Fn::」が不用な点が注意
  • 「!Ref」->「Ref:」
  • 「!Sub」->「Fn::Sub:」

    - !Ref AwsAccountId
    + Ref: AwsAccountId

• awscliを使った検証。あくまで構文のチェックで、実行時にエラーが出る事もある。

  aws cloudformation validate-template --template-body file://cloudformation/example.yml --profile example

• 記事
  • AWS CloudFormation テンプレートの検証エラーまたは形式エラーを解決する
  • 【小ネタ】PythonでCloudFormationテンプレートをパースする時に組み込み関数の短縮系構文に邪魔されない方法 ｜ DevelopersIO

Dynamic Inventory: 動的にinventoryを取得 †

• Working With Dynamic Inventory — Ansible Documentation

• 記事
  • [AWS]AnsibleのDynamic Inventoryを使って実行対象のEC2をタグ等で柔軟に指定する ｜ DevelopersIO

AWS assume role †

• 参考 ~/.aws/config: Memo/AmazonWebServices/IAM#tfb76382
• account1がログイン用、account2がswitch先とする
• boto module の場合、単純にansible module側「profile: account2」を指定するだけでは、以下のエラーで失敗した。
  • ansible 2.5.x: Profile given for AWS was not found. Please fix and retry.
  • 例：ec2_remote_facts
  • ec2_elb_facts

• boto3 module の場合、成功した
  • 例：aws_region_facts
• 「~/.boto -> ~/.aws/credentials」のようなsymlinkがあると失敗するので、「~/.boto」は消す
• sts_assume_role を使う場合

      - name: assume role
        sts_assume_role:
          role_arn: "{{ role_arn }}"
          role_session_name: session1
          region: "{{ region }}"
          profile: "{{ aws_profile }}"
        register: assumed_role
      - name: EC2 remote facts
        ec2_remote_facts:
          region: "{{ region }}"
          filters:
            instance-state-name: running
        register: result_ec2
        changed_when: False
        environment:
          AWS_ACCESS_KEY_ID: "{{ assumed_role.sts_creds.access_key }}"
          AWS_SECRET_ACCESS_KEY: "{{ assumed_role.sts_creds.secret_key }}"
          AWS_SESSION_TOKEN: "{{ assumed_role.sts_creds.session_token }}"
      - name: Number of running
        debug: msg="{{ result_ec2.instances | count }}"

コマンドのjson出力を取り込んで、yaml形式で出力する †

• Filters For Formatting Data
  • 文字列からjsonやyamlへの変換ができる
  • to_nice_yaml(indent=2)のような指定もできる

• ec2 describe-instancesの結果(json)を取り込んで、yaml形式で出力する
  • aws.ec2.list-instance.zip

aws profileを利用する †

いつのバージョンから(boto3 module？)か「~/.boto」は不用になった。 assume role利用の際に邪魔になるので、「~/.boto」は作らない方が良い。

「~/.aws/credentials」が既にある場合、ansibleからその中のアクセスキー等を利用したい。
ansibleのawsモジュールには profile: オプションで boto configの値を指定でき、フォーマットはaws configと同じなのでsymlinkで良さそう

• Boto Config — boto v2.42.0

• 例：dynamodb_table - Create, update or delete AWS Dynamo DB tables. — Ansible Documentation create, update, deleteは同時10テーブルまで。それ以上はエラーになるため、エラーが解消されるまで、複数回のansible実行が必要だった

• ansible v2.1, boto >= 2.24.0で動作確認できた。ansible v2.4.xは不具合があってdynamodb_tableは動かない

    tasks:
  #    - name: create symlink ~/.boto
  #      file: src=~/.aws/credentials dest=~/.boto state=link
  
      - name: Delete dynamodb table
        dynamodb_table:
          profile: "{{ aws_profile }}"
          region: "{{ aws_region }}"
          name: "{{ item }}"
          hash_key_name: "{{ item }}" # ドキュメントでは required:no だが、実行時にエラーが出るため追加
          state: absent
        with_items:
          - test