手動によるIAM Role作成
AWSのマネジメントコソールへログインしてください。
「サービス」→「IAM」→「ロール」の順に移動してください。
「ロールの作成」ボタンを押し、ロールの作成画面から「別のAWSアカウント」に移動してください。
- 「アカウント ID」に、AppKeeperのアカウントID ”398878680527”を入力してください。
- オプション「外部 ID が必要」にチェックし、テナント作成時に生成された外部IDを入力してください。詳細はクイックスタートガイド「IAM Roleの作成」を参照してください。
- オプション「MFA が必要」にはチェックしないでください。
- 「次のステップ: アクセス権限」ボタンで次の画面に移動してください。
「Attach アクセス権限ポリシー」画面で、次項を参照しポリシーを選択してください。
※ポリシーの選択について、セキュリティ要件などで以下のAWS管理ポリシーをご利用できない場合は、「ユーザーによる管理のポリシーを利用」を参照してください。
AWSによる管理のポリシーを利用する場合
- AmazonSSMAutomationRole
- AmazonEC2ReadOnlyAccess
上記2つのポリシーを選択してください。
※障害ログ機能をご利用の場合は、別途ポリシーの追加が必要です。
以下の記事をご覧いただき、必要となるポリシーを追加してください。
ユーザーによる管理のポリシーを利用する場合
「ポリシーの作成」ボタンから、ポリシーの作成画面に移動してください。
ポリシー作成画面から下記の「サービス」「アクション」「リソース」について、許可の設定を行ってください。
サービス
- EC2
アクション
- StartInstance
- StopInstances
- DescribeInstances
- DescribeInstanceStatus
- DescribeRegions
リソース
- 「すべてのリソース」にチェックを入れてください。
サービス
- Systems Manager
アクション
- SendCommand
- GetAutomationExecution
- StartAutomationExecution
- DescribeInstanceInformation
- GetCommandInvocation
リソース
- 「すべてのリソース」にチェックを入れてください。
IAMポリシーの例(JSON)
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm:SendCommand",
"ssm:GetAutomationExecution",
"ssm:GetCommandInvocation",
"ssm:StartAutomationExecution",
"ssm:DescribeInstanceInformation",
"ec2:DescribeInstances",
"ec2:DescribeRegions",
"ec2:StartInstances",
"ec2:StopInstances",
"ec2:DescribeInstanceStatus"
],
"Resource": "*"
}
]
}
※障害ログ機能をご利用の場合は、別途ポリシーの追加が必要です。
以下の記事をご覧いただき、必要となるポリシーを追加してください。
コメント
0件のコメント
記事コメントは受け付けていません。