Cloud Automatorに必要なIAMポリシー

Cloud Automatorをご利用いただくには、お客様のAWSアカウントを登録していただく必要がございます。ここでは、登録アカウント(IAM)に必要なポリシーについて説明いたします。

IAMロール方式

IAMロール方式でAWSアカウントをご登録いただきますと、Cloud Automatorに必要なIAMポリシーが登録されたIAMロールを利用可能です。
IAMロールによるAWSアカウントの登録を行う

また、新たに追加された機能を利用するための権限が必要な場合は、以下の手順でIAMポリシーを追加してください。

IAMロールにポリシーを追加する場合

今回は、例として「WorkSpaceを再構築」アクションに必要な権限(RebuildWorkspaces)を追加します。

  1. AWSマネジメントコンソールにサインインし、IAMコンソールにアクセスします。
  2. 「ロール」をクリックし、検索欄に「CloudAutomator」と入力します。
  3. Cloud Automatorに登録しているIAMロールのロール名をクリックします。

    20220405155536.png

  4. 許可ポリシー内の「workspaces-statement」をクリックします。
  5. 「JSON」タブをクリックして、以下の内容を追記します。
    "workspaces:RebuildWorkspaces",

    20220405155616.png

    ※すでに"workspaces:RebuildWorkspaces",が存在する場合は、追記不要です。

  6. エラーが発生していないことを確認し「ポリシーの確認」をクリックします。
  7. 変更内容を確認し「変更の保存」をクリックします。

以上になります。

Cloud Automatorに必要なIAMポリシー 一覧
https://github.com/CloudAutomator/iam-policies/wiki/Cloud-Automator-IAM-policies

IAMユーザー方式

IAMユーザー方式でAWSアカウントをご登録いただく場合は、以下の情報をご確認ください。

推奨ポリシー

Cloud AutomatorはAWSのオペレーションを自動化するツールとして、これからもトリガーとアクションを中心に、新しいAWSのサービスへの対応も含めて機能を追加していく予定です。そのため、AWS が用意している AdministratorAccess ポリシーをアタッチいただくと、新機能がリリースされた際も、すぐに該当機能がお使いいただける状態となります。

個別にポリシーを設定する場合

登録するIAMに付与する権限は最小限にされたい場合は、Cloud Automator用のIAMポリシーを公開しておりますので、そちらをご利用ください。
https://github.com/CloudAutomator/iam-policies/wiki/Cloud-Automator-IAM-policies

Cloud Automator用のポリシーを作成し、IAMユーザーやグループにアタッチします。
AWSマネジメントコンソール上での方法、AWS CLI を使った方法、の2つについて説明します。

Note: ポリシードキュメントは最大文字数の制約があるため、AWS のサービスごとに独自ポリシーを作成します。

 

登録方法 (AWSマネジメントコンソールでの方法)

ここでは例として、EC2用のポリシーを作成します。

  1. AWSマネジメントコンソールでサービス「IAM」を選択し、左メニューの「ポリシー」を選択します。
  2. ポリシーの作成ボタンをクリックします。

    IAM_1.png

  3. 「独自のポリシーを作成」を選択します。

    IAM_2.png

  4. ポリシーの確認画面で、「ポリシー名」を入力し、「ポリシードキュメント」にCloud Automator用のポリシードキュメントを貼り付けて、「ポリシーの作成」ボタンをクリックします。
    https://github.com/CloudAutomator/iam-policies/wiki/Cloud-Automator-IAM-policies

    IAM_3.png

  5. 一覧で「ユーザーによる管理」フィルターを選択、またはフィルタリング用入力欄に作成したポリシー名を入力すると、作成した独自ポリシーが表示されます。

    IAM_4.png

  6. 同じ手順で、EC2 以外のサービスについても必要に応じて作成します。
  7. 作成したポリシーを、IAMユーザーまたはIAMグループにアタッチしてください。

以上になります。

 

登録方法 (AWS CLIでの方法)

各サービスのポリシーファイルは、以下のリポジトリで公開しています。 https://github.com/CloudAutomator/iam-policies

ここでは例として、EC2用のポリシーを作成します。

  1. 事前にそれぞれのポリシーファイルをリポジトリからダウンロードしておきます。
  2. IAMグループの作成を行います。
    $ aws iam create-group --group-name ca-ec2-group
  3. 作成したグループに権限の割り当てを行います。
    $ aws iam put-group-policy \
    --group-name ca-ec2-group \
    --policy-name ca-ec2-policy \
    --policy-document file://./ec2-policy.json
  4. IAMグループにユーザーを割り当てます。
    $ aws iam add-user-to-group --user-name cloudautomator --group-name ca-ec2-group
  5. 必要なサービスについて上記作業を繰り返してください。

以上になります。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください