Суровый баш для обновления сессионных токенов для AWS CLI при использовании MFA:
https://blog.ivnilv.com/tools/sacc/
#bash #aws_cli
https://blog.ivnilv.com/tools/sacc/
#bash #aws_cli
Закрытие AWS account через AWS SDK & AWS CLI:
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_close.html#aws-cli-&-aws-sdks
Не прошло и пять лет. Ан нет, прошло.
Нужно учитывать следующие особенности закрытия (на самом деле сначала приостановки -
▫️ Закрыть можно любой аккаунт (member account, иногда называются как sub-account) кроме главного (management account, ранее master account).
▫️ Пока команда выполнения закрытия аккаунта находится в процессе (обычно несколько минут), аккаунт будет в состоянии
▫️ Закрыть сразу все аккаунты не получится. Можно закрыть лишь 10% от общего количества в течение месяца.
▫️ Случайно закрытый нужный аккаунт можно восстановить в течение 90 дней через Support (пока аккаунт находится в состоянии
Подробности API для Organizations -
https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html
Особенности закрытия аккаунтов для AWS GovCloud (US):
https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/Closing-govcloud-account.html
⚠️ На момент публикации документация на команду AWS CLI close-account пока ещё не доступна.
#Organizations
https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_accounts_close.html#aws-cli-&-aws-sdks
aws organizations close-account --account-id 123456789012Не прошло и пять лет. Ан нет, прошло.
Нужно учитывать следующие особенности закрытия (на самом деле сначала приостановки -
SUSPENDED) AWS аккаунтов в Organizations:▫️ Закрыть можно любой аккаунт (member account, иногда называются как sub-account) кроме главного (management account, ранее master account).
▫️ Пока команда выполнения закрытия аккаунта находится в процессе (обычно несколько минут), аккаунт будет в состоянии
PENDING_CLOSURE. По её отработке он переходит в состояние SUSPENDED, в котором будет висеть ещё три месяца, прежде, чем окончательно удалится.▫️ Закрыть сразу все аккаунты не получится. Можно закрыть лишь 10% от общего количества в течение месяца.
▫️ Случайно закрытый нужный аккаунт можно восстановить в течение 90 дней через Support (пока аккаунт находится в состоянии
SUSPENDED).Подробности API для Organizations -
CloseAccount:https://docs.aws.amazon.com/organizations/latest/APIReference/API_CloseAccount.html
Особенности закрытия аккаунтов для AWS GovCloud (US):
https://docs.aws.amazon.com/govcloud-us/latest/UserGuide/Closing-govcloud-account.html
⚠️ На момент публикации документация на команду AWS CLI close-account пока ещё не доступна.
#Organizations
Amazon
Closing a member account in an organization with AWS Organizations - AWS Organizations
Close, delete, or suspend an AWS account that you no longer need.
👍5❤3🎉2
aws --debugВ случае проблем при работе с AWS CLI стоит помнить про стандартный ключик
--debug, который покажет всё, что происходит под капотом во время выполнения команды aws.https://awscli.amazonaws.com/v2/documentation/api/latest/reference/index.html#global-options
Любая команда выдаст простыню логов, в частности, если присмотреться, то можно увидеть, как команда
aws перебирает источники credentials:Looking for credentials via: envLooking for credentials via: assume-roleLooking for credentials via: shared-credentials-fileLooking for credentials via: custom-processLooking for credentials via: config-fileLooking for credentials via: ec2-credentials-fileLooking for credentials via: boto-configLooking for credentials via: container-roleLooking for credentials via: iam-roleВ результате наглядно видны приоритеты получения aws-cli credentials, что вполне может навести на мысль, почему не работает как нужно.
Если же думать и присматриваться лень, то скормив эту простыню ChatGPT, можно рассчитывать на максимально точные рекомендации.
#aws_cli
Amazon
Configuring settings for the AWS CLI - AWS Command Line Interface
Configure settings that the AWS CLI uses to interact with AWS.
👍11😁1🤔1
Начиная с версии AWS CLI v2.30.3 можно генерить/обновлять креды для IAM юзеров с MFA без сторонних утилит с помощью команды:
aws configure mfa-login
Для удобства лучше сразу добавить имя генерируемого профиля с помощью
#
#
p.s. IAM юзеры зло — используйте SSO (IAM Identity Center).
#aws_cli
aws configure mfa-login
Для удобства лучше сразу добавить имя генерируемого профиля с помощью
--update-profile , иначе сгенерит автоматически, а также --duration-seconds , максимум на 36 часов и ARN устройства --serial-number, чтобы не вводить отдельно:#
aws --profile=aws-notes-s3-user configure mfa-login --update-profile=mfa-aws-notes-s3-user --duration-seconds=129600 --serial-number=arn:aws:iam::984475386489:mfa/My-iPhoneMFA token code: 969969
Temporary credentials written to profile 'mfa-aws-notes-s3-user'
Credentials will expire at 2025-09-18T19:50:40+00:00
To use these credentials, specify --profile mfa-aws-notes-s3-user when running AWS CLI commands
#
aws --profile mfa-aws-notes-s3-user s3 ls2018-11-18 16:17:32 aws-notes-test
p.s. IAM юзеры зло — используйте SSO (IAM Identity Center).
#aws_cli
GitHub
aws-cli/CHANGELOG.rst at v2 · aws/aws-cli
Universal Command Line Interface for Amazon Web Services - aws/aws-cli
👍14💯2
aws login - логин через AWS Console 🎉https://aws.amazon.com/blogs/security/simplified-developer-access-to-aws-with-aws-login/
При вводе
aws login в командной строке — идёт перенаправление в браузер, далее логинитесь в нужного юзера или роль и пользуетесь!⚠️ Нужно обновить AWS CLI до 2.32.0 или новей.
#aws_cli
👍14❤🔥3