Memo/AmazonWebServices/aws-vault

aws-vault: アクセスキーの暗号化
- インストール
- トラブルシューティング
  - dbus-daemonが増える
  - aws-vault: error: exec: running in an existing aws-vault subshell; 'exit' from the subshell or unset AWS_VAULT to force

aws-vault: アクセスキーの暗号化 †

aws login はlocalにaccess keyを保存しないので、aws-vault自体不要になった？ AWS CLIの新機能 aws login コマンドを試してみた | DevelopersIO

デフォルトでは「 $HOME/.aws/credentials」に保存されるkeyは平文なので、盗まれる可能性がある。(マルウェアに感染した場合等)

https://github.com/99designs/aws-vault
- 最終更新: 2023-03-27
- アクセスキーをOSのキーストア、他に保存する。利用可能なbackend
- マルウェア等の不正アクセス等でlocalに保存してある平文のアクセスキーを奪われる事を防ぐ
- 利用時はSTS経由で利用する
- 1回キーストアのパスワードを入力すれば、設定したduration期間はパスワード不要。MFAも同様
- 以下のようにコマンドが変わるが、credential_processを設定すると変えないようにもできる。
```
aws-vault exec jonsmith -- aws s3 ls
```
- terraform v1.13.4: MFA設定済みの場合でも動作した。MFAを入力するプロンプトが出る。
- ansible [core 2.15.0]: MFA設定済みの場合でも動作した。MFAを入力するプロンプトが出る。

記事:

↑

インストール †

Linux: Ubuntu on WSL2の場合:

linux環境にバイナリをインストール。brewだとコンパイルが走るため遅い。

VER=v7.2.0

wget -O ~/bin/aws-vault https://github.com/99designs/aws-vault/releases/download/$VER/aws-vault-linux-amd64
chmod +x ~/bin/aws-vault

aws-vault --version
v7.2.0

Linux: デフォルトではbackendが認識されない。

# エラー
aws-vault add user1
aws-vault: error: Specified keyring backend not available, try --help

AWS_VAULT_BACKEND
- file: 独自暗号化してファイル(~/.awsvault/)に保存。dbus-daemonプロセスが増える問題がある。
- pass: passの場合、gpg( ~/.gnupg/)に保存。 dbus-daemonプロセスが増える問題がある。

AWS_VAULT_BACKEND=file の場合。パスフレーズを省略したい場合、AWS_VAULT_FILE_PASSPHRASEを設定。平文丸見えなのでセキュリティは下がる。1回入力すれば◯時間有効なのでそこを許容するか。
```
# ~/.bashrc に追加
export AWS_VAULT_BACKEND=file
#export AWS_VAULT_FILE_PASSPHRASE=your-passphrase
export AWS_SESSION_TOKEN_TTL=12h

eval "$(aws-vault --completion-script-bash)"
```

AWS_VAULT_BACKEND=pass の場合

# gpg鍵の作成
gpg --gen-key
gpg --list-keys

# passをインストール
sudo apt install pass
pass init user1

# ~/.bashrc に追加
export AWS_VAULT_BACKEND=pass
export AWS_VAULT_PASS_PREFIX=aws-vault
export AWS_SESSION_TOKEN_TTL=12h

eval "$(aws-vault --completion-script-bash)"

dbus-daemonプロセスが増える対策

既存のprofile編集

「--prompt=osascript」はmacOS専用らしい。Linuxでは「--prompt=terminal」

# ~/.aws/credentialsにsecret keyがある場合は削除
vim ~/.aws/credentials
--
- aws_access_key_id=...
- aws_secret_access_key=...
--

vim ~/.aws/config
--
[default]
sts_regional_endpoints = regional

[profile login]
output = json
region = ap-northeast-1
mfa_serial = arn:aws:iam::123456789012:mfa/user1
credential_process=aws-vault exec login1 --json --prompt=terminal --duration 12h

[profile profile1]
output = json
region = ap-northeast-1
role_arn = arn:aws:iam::123456789013:role/role-admin
source_profile = login
--

login1は適当な名前で良い。aws profileと同じでなくてもいいが、合わせるとわかりやすいかも。

# 登録
aws-vault add login1

# profile切替
aws-vault exec login1

# 確認: 一時セッションが設定されている
env | grep AWS_

# 一覧
aws-vault list

# セッションの削除
aws-vault clear

# ~/.password-store/aws-vault/ に".gpg"が保存されている

実行方法: 複数ある

mfa_serialが設定済みなら、初回MFAを聞いてくる。

"--duration 12h" なら12時間セッションが有効だが、AssumeRole先のroleにもセッション時間が設定されているのでそちらが優先される。

# credential_process未設定の場合
aws-vault exec login --no-session -- aws sts get-caller-identity
...
Enter MFA code for arn:aws:iam::123456789012:mfa/user1

# credential_process設定済みの場合、使用方法は変わらない
aws sts get-caller-identity --profile login

↑

トラブルシューティング †

↑

dbus-daemonが増える †

aws-vault v7.2.0, Ubuntu 20.04.4 LTS on WSL2 on Win11
aws-vault コマンドを実行するたびに、dbus-daemonが2つ増える。そのうち「Too many open files」で他プロセスがファイルを開けなくなる。

"AWS_VAULT_BACKEND="pass | file" の場合に増えた。

aws-vault help

grep -lf dbus-daemon
2579 dbus-daemon
2584 dbus-daemon

複数のdbus-daemon をkillする
```
pkill dbus-daemon
```

dbus-daemonが一つだけ起動するようにしたい。~/.bashrc等でaws-vault用環境変数の前に追加

# This is a fix for the problem of an increasing number of dbus-daemon processes.
if [ -z "$DBUS_SESSION_BUS_ADDRESS" ]; then
  eval $(dbus-launch --sh-syntax)
  echo "export DBUS_SESSION_BUS_ADDRESS=$DBUS_SESSION_BUS_ADDRESS" > ~/.dbus-session
  echo "export DBUS_SESSION_BUS_PID=$DBUS_SESSION_BUS_PID" >> ~/.dbus-session
else
  if [ -f ~/.dbus-session ]; then
      source ~/.dbus-session
  fi
fi

↑

aws-vault: error: exec: running in an existing aws-vault subshell; 'exit' from the subshell or unset AWS_VAULT to force †

エラー「aws-vault: error: exec: running in an existing aws-vault subshell; 'exit' from the subshell or unset AWS_VAULT to force」
解決「unset AWS_VAULT」

連絡先

TreeView

Memo (711)
- 2FA-MFA
- ACDSee
- ASP
- ASP.NET
- Adobe
- Affiliate
- Aipo
- Akelos (3)
  - sample (2)
    - ajax
    - pref
- Algorithm (1)
  - image
- Aliyun (1)
  - cli
- AmazonWebServices (88)
  - ACM
  - APIGateway
  - Alexa
  - Athena (2)
    - CloudTrail
    - Example
  - Backup
  - Batch
  - Bedrock
  - Billing
  - CDK
  - Chatbot
  - CloudFormation
  - CloudFront
  - CloudSearch
  - CloudTrail
  - CloudWatch
  - CodeBuild
  - CodeCommit
  - CodeDeploy
  - CodePipeline
  - Configservice
  - Connect
  - DataPipeline
  - Detective
  - DirectConnect
  - DirectoryService
  - DocumentDB
  - DynamoDB
  - EC2 (5)
    - AMI
    - DLM
    - EBS
    - ec2-metadata-mock
    - mock-ec2-metadata
  - EC2-classic
  - ECR
  - ECS
  - EKS
  - ELB
  - EMR
  - ElastiCache
  - ElasticBeanstalk
  - Fargate
  - FireLens
  - Glacier
  - Glue
  - GuardDuty
  - Health
  - IAM
  - IPv6
  - IoT
  - KinesisDataFirehose
  - Lambda
  - OpenSearch(Elasticsearch)
  - Organizations
  - QuickSight
  - R53
  - RDS (1)
    - Aurora
  - Route53
  - S3
  - SDB
  - SDK (1)
    - Python
  - SES
  - SNS
  - SSO
  - SecretsManager
  - SystemsManager
  - VPC (1)
    - TransitGateway
  - VPN
  - WAF
  - aws-vault
  - awscli (12)
    - CloudWatch
    - DynamoDB
    - EC2
    - RDS
    - S3
    - backup
    - ce
    - elb
    - error
    - parallel
    - route53
    - v2
- Amazon_Dash_Button
- Amazon_Fire_TV_Stick
- Amazon_Fire_Tablet
- Android (15)
  - AIR
  - ASUS_EeePad_Transformer
  - ASUS_Nexus7
  - ASUS_ZenFone_Max_Pro_M1
  - GALAXY_Tab
  - HTC_Butterfly_s
  - HTC_Desire
  - HTC_Desire_HD
  - HTC_Desire_Z
  - HTC_HT-03A
  - Lenovo_Legion_Y700_2023
  - SHARP_AQUOS_sense4_lite
  - adk
  - app
  - sdk
- Ansible (20)
  - AWS
  - AWX
  - Error
  - Facts
  - Filters
  - Galaxy
  - Install
  - Jinja2
  - Lookups
  - Loops
  - Tower
  - Troubleshooting
  - Validation
  - Variables
  - Vault
  - Windows
  - ldap
  - local_action
  - module_development
  - set_fact
- AppleTV
- Arduino
- ArtificialIntelligence (3)
  - LLM (1)
    - ClaudeCode
  - MachineLearning
- Atlassian
- AugmentedReality
- Azure
- BBS
- Backlog
- Bazaar
- Becky
- Blog
- Blynk
- Browser
- C
- C++
- CDN
- CSS
- ChaosEngineering
- CircleCI
- CloudComputing
- Cloudflare
- ComputerSecurity
- Consul
- Creative
- DNS
- DTM
- Database (1)
  - ツリー(階層)構造の設計
- Datadog
- Docker (4)
  - Dockerfile
  - Kubernetes
  - k3s
  - nomad
- Doxygen
- Dropbox
- DuckDB
- E-book (4)
  - BOOKSCAN
  - Calibre
  - NOOK
  - edit
- EC-CUBE
- EOL
- Electron
- English
- EstimateTechnique
- Evernote
- Excel
- F-PLUG
- F-Secure_PSB
- FFmpeg
- Fabric
- Filer
- Flash (1)
  - Lite
- Flex
- Fonts
- FreeWLAN
- GIS
- Gainer
- Game
- GameDev
- Geolocation
- GlusterFS
- Google (10)
  - AdSense
  - Apps_Script
  - Docs
  - Drive
  - Gemini
  - Gmail
  - NotebookLM
  - SpreadSheet
  - Workspace
  - reCAPTCHA
- GoogleCloudPlatform
- Google_Chromecast
- Gradle
- Grafana (9)
  - API
  - Athena
  - CloudWatch
  - GoogleBigQuery
  - Loki
  - Troubleshooting
  - Zabbix
  - docker
  - plugins
- GraphQL
- Graphics
- Graphviz
- HTML (1)
  - 5
- Heroku (2)
  - Papertrail
  - herokucli
- IPTV
- IPv6
- ImageProcessing
- InfoPath (1)
  - JScript
- IntelliJ_IDEA
- IoT
- JAWBONE_UP
- Java (8)
  - Eclipse (1)
    - Cray
  - Eclipse3.1でiアプリ開発
  - Maven
  - Tomcat
  - log4j
  - 携帯 (1)
    - サンプル
- JavaScript (1)
  - jq
- Jenkins
- JupyterNotebook
- KVM_Switch
- LVGL
- LXC
- LibreOffice
- LifeHacks
- Linux (139)
  - AlmaLinux (2)
    - 10
    - 9
  - AntiVirus
  - Apache
  - Archiver
  - Bash
  - BitTorrent
  - CVS
  - CentOS (5)
    - 5
    - 6
    - 7
    - 8
    - Stream
  - CentOS4
  - Chrony
  - ClamAV
  - Disk
  - Dragonfly
  - Duplicity
  - Fedora core 1
  - Fedora core 5 (2)
    - VMware server
    - samba3.0
  - Firecracker
  - Fluent-Bit
  - Fluentd(td-agent) (1)
    - Errors
  - Heartbeat
  - HyperEstraier
  - InitScript
  - LVM
  - LVS
  - Linuxbrew
  - LiteSpeed
  - Mailman
  - Makefile
  - Memcached
  - Monit
  - Monitoring
  - Munin
  - Namazu
  - OSS-license
  - OpenLDAP (1)
    - WebUI
  - OpenResty
  - Pacemaker
  - Redhat Enterprise Linux ES3
  - Redhat Enterprise Linux ES4
  - SC420 (6)
    - MySQL5.0
    - PostgreSQL8.0
    - Subversion
    - eAccelerator0.9.3
    - php5.0
    - 外部公開(DMZ)
  - SELinux
  - SSL
  - ShellScript
  - Vyatta
  - WebCamera
  - Zabbix (14)
    - 1.8jp
    - 2.0
    - 2.2
    - 2.4
    - 3.0
    - 4.0
    - 5.0
    - 6.0
    - 7.0
    - API
    - AWS
    - Error
    - Template
    - docker
  - ag
  - anyenv
  - audit
  - cloud-init
  - comm
  - command
  - curl
  - datetime
  - denyhosts
  - diff
  - dnf
  - dnsmasq
  - fail2ban
  - find
  - firewalld
  - fzf
  - grep
  - haproxy
  - iptables
  - jailkit
  - jc
  - less
  - lftp
  - logrotate
  - lsof
  - mail
  - mdadm
  - nftables
  - nginx
  - ntp
  - parallel
  - pdsh
  - peco
  - postfix
  - pure-ftpd
  - rclone
  - rdiff-backup
  - redis
  - resolv.conf
  - rootsh
  - rpm
  - rsync
  - samba
  - servicelist
  - socat
  - source-highlight
  - ss
  - ssh
  - sudo
  - symlink
  - syslog
  - systemd
  - taRgrey
  - tcpflow
  - tmux
  - vim
  - vsftpd
  - webdruid
  - wget
  - xargs
  - yum
  - zphoto
- Lua
- MSOffice
- MacOS X (2)
  - Homebrew
  - app
- MariaDB
- Markdown
- MessagePack
- MicrosoftTeams
- MicrosoftVisualStudio
- MongoDB
- Movie
- Mp3tag
- MySQL (5)
  - 5.5
  - 5.7
  - 8.0
  - Error
  - docker
- NETGEAR_ReadyNAS
- NLP
- NetworkNotepad
- NoSQL
- Node.js
- Notion
- OCR
- ODROID
- OSRM
- OSSEC
- OpenOfficeOrg
- OpenTofu
- OpenVPN
- OpenWrt (7)
  - Buffalo_WSR-2533DHP
  - ELECOM_WRC-X3200GST3
  - Package (4)
    - adblock
    - ddns
    - luci
    - openvpn
- Opera
- Oracle
- PC
- PC98
- PDF
- PHP (35)
  - Bug
  - CakePHP
  - Composer
  - Excelファイル生成
  - Google
  - PEAR (11)
    - Auth
    - Cache_Lite
    - DB
    - DB_DataObject
    - File_Archive
    - HTML_QuickForm
    - MDB2
    - QuickForm
    - SQLite
    - Services_Amazon
    - session_pgsql
  - PECL (1)
    - oauth
  - PHP Accelerator
  - SOAP
  - Smarty
  - XML_RPC
  - Xdebug
  - eAccelerator (1)
    - CentOS5.2
  - log4php
  - phpでSSL通信
  - qdmail
  - rss
  - simpletest
  - wkhtmltox
  - xhprof
  - フレームワーク
  - ベンチマーク
- PSP
- PT2 (2)
  - CentOS
  - Ubuntu
- Packer
- Parquet
- PayPal
- Perl (1)
  - OneLiner
- PhantomJS
- Photoshop
- PlantUML
- Poderosa
- Podman
- PostgreSQL (3)
  - constraint
  - pgpool
  - pgpool-II
- PowerPoint
- Programming
- Prometheus
- Puppet (5)
  - Geppetto
  - hiera
  - v3.x
  - v5.x
  - v8
- Python (8)
  - AWS
  - Error
  - Poetry
  - install
  - luigi
  - pip
  - test
  - uv
- QRCode
- RADIUS
- REST_API
- RFID
- RabbitMQ
- Rackspace
- Raspberry_Pi (3)
  - ANAVI_Infrared_pHAT
  - DNSB-35137
  - co2
- RecordingServer
- Redash
- Redmine
- RegularExpression
- Rlogin
- Ruby (1)
  - Rails
- Rundeck
- Rust
- SQL
- SQLite
- SSO
- SakuraEditor
- SendGrid
- Server
- Skype
- Slack
- SoftEther (1)
  - Raspberry_Pi
- Solaris
- Stashboard
- Subversion (6)
  - Install
  - trac (4)
- SwitchBot
- Taskfile
- Tauri
- Terraform (12)
  - Error
  - G_Suite
  - GoogleCloud
  - aliyun
  - aws (1)
    - Errors
  - dynamic-block
  - for_each
  - heroku
  - legacy
  - provider
  - random
- ThinkPad
- Trac
- Traefik
- TrendMicroDeepSecurity
- Twitter
- TypeScript
- USB-IO
- Ubuntu (1)
  - Error
- Unity
- VMware
- VOCALOID
- Vagrant (4)
  - Errors
  - Windows
  - box
  - macOS
- VictoriaMetrics
- VirtualBox
- Visio
- VisualStudioCode (1)
  - AWS
- VxWorks
- WebBrowser (5)
  - Chrome
  - Chromium
  - Firefox (1)
    - PreBar
  - Vivaldi
- Wiki (4)
  - BlockingSpam
  - dev
  - docker
  - 広告
- Windows (28)
  - .NET_Framework
  - 10 (12)
    - WSL (11)
      - 2
      - CentOS
      - Docker
      - Install
      - Ubuntu
      - ssh-agent-wsl
      - wsl-ssh-agent
      - wsl-terminal
      - wsl2-ssh-agent
      - wslgit
      - wsltty
  - 11
  - 7
  - 8
  - ATOK
  - BatchFile
  - EventLog
  - Firewall
  - PackageManagement
  - PowerShell
  - VirtualPC
  - WSA
  - WindowsTerminal
  - winget
  - エラー
- WindowsMobile (3)
  - Link
  - Software
  - ssh
- Wireshark
- Word
- WordPress
- XBMC (2)
  - CentOS
  - Ubuntu
- Xamarin
- YAMAHA-RTX
- antivirus
- backup (1)
  - AcronisTrueImage
- company
- containerd
- csvtsv
- dd-wrt (7)
  - Buffalo_WHR-G301N
  - Buffalo_WXR-1900DHP
  - Buffalo_WZR-1166DHP
  - Buffalo_WZR-1750DHP
  - Buffalo_WZR-D1800H
  - Buffalo_WZR-HP-AG300H
  - Buffalo_WZR-HP-G300NH
- draw.io
- facebook
- favorite
- git (5)
  - Bitbucket
  - GitHub (3)
    - Actions (2)
      - AWS
      - act
- golang
- iPhone (2)
  - app
  - sdk
- iPod
- jQuery
- keepass
- localstack
- mbed
- mise
- mobile
- pandoc
- printer
- programmer
- serverspec
- soracom
- spam
- telework
- twilio
- web
- wkhtmltopdf
- yaml (1)
  - yq
- ユーザビリティ
- 個人情報保護法
- 航空機用語
- 就職
- 設計開発
- 素材集
- 相続
- 投資
- 用語
- FrontPage
  - - instag.inc.php

Memo/AmazonWebServices/aws-vault

aws-vault: アクセスキーの暗号化 †

インストール †

トラブルシューティング †

dbus-daemonが増える †

aws-vault: error: exec: running in an existing aws-vault subshell; 'exit' from the subshell or unset AWS_VAULT to force †

Software

Programming

Game

雑記

連絡先

TreeView

人気の10件

最新の10件