TAKEDA-Takashi · May 16, 2019 08:26
diff --git a/aws-iam-user-key-rotation.sh b/aws-iam-user-key-rotation.sh
 #!/bin/bash -euo pipefail
 #
 # Usage:
 #   $ aws-iam-user-key-rotation.sh [profile] [credential_file]
 #

 declare -x AWS_DEFAULT_PROFILE=${1:-default}
 declare credential_file=${2:-~/.aws/credentials}
 declare -x AWS_SHARED_CREDENTIALS_FILE=$credential_file

 echo "${AWS_DEFAULT_PROFILE} プロファイルのアクセスキーをローテーションします。"

 declare iam_user_name
 iam_user_name=$(aws iam get-user | jq -r '.User.UserName')
 declare current_access_keys
 current_access_keys=$(aws iam list-access-keys)

 echo "対象のIAMユーザーは ${iam_user_name} です。"

 # AWSのアクセスキーは一度に2個までしか作成できないため先にチェックしておく
 if (( $(echo "$current_access_keys" | jq '.AccessKeyMetadata | length') == 2 )); then
  echo "アクセスキーが2個存在しています。使用していないアクセスキーを削除してから再実行してください。" 1>&2
  exit 1
 fi

 cp "$credential_file"{,.bak}

 declare new_credentials
 new_credentials=$(aws iam create-access-key --user-name "$iam_user_name")
 echo "新規アクセスキーを作成しました。"

 declare response_text="$(echo "$new_credentials" | jq -r '.AccessKey.AccessKeyId')
 $(echo "$new_credentials" | jq -r '.AccessKey.SecretAccessKey')


 "

 echo "$response_text" | aws configure > /dev/null
 echo "クレデンシャルファイルを更新しました。"

 declare updated_access_keys
 echo "新しいアクセスキーで試行します。"

 set +e
 while :; do
  echo "5秒待機します..."
  sleep 5s

  # このコマンドは新しいアクセスキーで実行される
  updated_access_keys=$(aws iam list-access-keys 2> /dev/null)
  (( $? == 0 )) && break
 done
 set -e

 # ここがfalseになることはないはず
 if (( $(echo "$updated_access_keys" | jq '.AccessKeyMetadata | length') != 2 )); then
  echo "アクセスキーが2個存在していません。何かおかしいようです。" 1>&2
  exit 1
 fi

 aws iam delete-access-key --user-name "$iam_user_name" --access-key-id "$(echo "$current_access_keys" | jq -r '.AccessKeyMetadata[0].AccessKeyId')"
 echo "古いアクセスキーを削除しました。"
	#!/bin/bash -euo pipefail
	#
	# Usage:
	# $ aws-iam-user-key-rotation.sh [profile] [credential_file]
	#

	declare -x AWS_DEFAULT_PROFILE=${1:-default}
	declare credential_file=${2:-~/.aws/credentials}
	declare -x AWS_SHARED_CREDENTIALS_FILE=$credential_file

	echo "${AWS_DEFAULT_PROFILE} プロファイルのアクセスキーをローテーションします。"

	declare iam_user_name
	iam_user_name=$(aws iam get-user \| jq -r '.User.UserName')
	declare current_access_keys
	current_access_keys=$(aws iam list-access-keys)

	echo "対象のIAMユーザーは ${iam_user_name} です。"

	# AWSのアクセスキーは一度に2個までしか作成できないため先にチェックしておく
	if (( $(echo "$current_access_keys" \| jq '.AccessKeyMetadata \| length') == 2 )); then
	echo "アクセスキーが2個存在しています。使用していないアクセスキーを削除してから再実行してください。" 1>&2
	exit 1
	fi

	cp "$credential_file"{,.bak}

	declare new_credentials
	new_credentials=$(aws iam create-access-key --user-name "$iam_user_name")
	echo "新規アクセスキーを作成しました。"

	declare response_text="$(echo "$new_credentials" \| jq -r '.AccessKey.AccessKeyId')
	$(echo "$new_credentials" \| jq -r '.AccessKey.SecretAccessKey')


	"

	echo "$response_text" \| aws configure > /dev/null
	echo "クレデンシャルファイルを更新しました。"

	declare updated_access_keys
	echo "新しいアクセスキーで試行します。"

	set +e
	while :; do
	echo "5秒待機します..."
	sleep 5s

	# このコマンドは新しいアクセスキーで実行される
	updated_access_keys=$(aws iam list-access-keys 2> /dev/null)
	(( $? == 0 )) && break
	done
	set -e

	# ここがfalseになることはないはず
	if (( $(echo "$updated_access_keys" \| jq '.AccessKeyMetadata \| length') != 2 )); then
	echo "アクセスキーが2個存在していません。何かおかしいようです。" 1>&2
	exit 1
	fi

	aws iam delete-access-key --user-name "$iam_user_name" --access-key-id "$(echo "$current_access_keys" \| jq -r '.AccessKeyMetadata[0].AccessKeyId')"
	echo "古いアクセスキーを削除しました。"