Cloud Automatorに必要なIAMポリシー

Cloud Automator をご利用いただくには、お客様の AWS アカウントを登録していただく必要がございます。ここでは、登録アカウント(IAM)に必要なポリシーについて説明致します。

推奨ポリシー

Cloud Automator は AWS のオペレーションを自動化するツールとして、これからもトリガーとアクションを中心に、新しい AWS のサービスへの対応も含めて機能を追加していく予定です。そのため、AWS が用意している AdministratorAccess ポリシーをアタッチいただくと、新機能がリリースされた際も、すぐに該当機能がお使いいただける状態となります。

個別にポリシーを設定する場合

登録するIAMに付与する権限は最小限にされたい場合は、Cloud Automator 用のIAMポリシーを公開しておりますので、そちらをご利用ください。

Cloud Automator 用のポリシーを作成し、IAM ユーザーやグループにアタッチします。
Manegement Console 上での方法、AWS CLI を使った方法、の2つについて説明します。

Note: ポリシードキュメントは最大文字数の制約があるため、AWS のサービスごとに独自ポリシーを作成します。

 

登録方法 (Management Consoleでの方法)

ここでは例として、EC2 用のポリシーを作成します。

  1. AWS の Management Console でサービス「IAM」を選択し、左メニューの「ポリシー」を選択します。
  2. ポリシーの作成ボタンをクリックします。

    IAM_1.png

  3. 「独自のポリシーを作成」を選択します。

    IAM_2.png

  4. ポリシーの確認画面で、「ポリシー名」を入力し、「ポリシードキュメント」にCloud Automator 用のポリシードキュメントを貼り付けて、「ポリシーの作成」ボタンをクリックします。

    ※ Cloud Automator 用のポリシードキュメントの一覧はこちら

    IAM_3.png

  5. 一覧で「ユーザーによる管理」フィルターを選択、またはフィルタリング用入力欄に作成したポリシー名を入力すると、作成した独自ポリシーが表示されます。

    IAM_4.png

  6. 同じ手順で、EC2 以外のサービスについても必要に応じて作成します。
  7. 作成したポリシーを、IAMユーザーまたはIAMグループにアタッチしてください。

以上になります。

 

登録方法 (AWS CLIでの方法)

各サービスのポリシーファイルは、以下のリポジトリで公開しています。 https://github.com/CloudAutomator/iam-policies

ここでは例として、EC2 用のポリシーを作成します。

  1. 事前にそれぞれのポリシーファイルをリポジトリからダウンロードしておきます。
  2. IAMグループの作成を行います。
    $ aws iam create-group --group-name ca-ec2-group
  3. 作成したグループに権限の割り当てを行います。
    $ aws iam put-group-policy \
    --group-name ca-ec2-group \
    --policy-name ca-ec2-policy \
    --policy-document file://./ec2-policy.json
  4. IAMグループにユーザーを割り当てます。
    $ aws iam add-user-to-group --user-name cloudautomator --group-name ca-ec2-group
  5. 必要なサービスについて上記作業を繰り返してください。

以上になります。

 

IAMポリシー 一覧

https://github.com/CloudAutomator/iam-policies/wiki/Cloud-Automator-IAM-policies

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください