Cloud Automatorをご利用いただくには、お客様のAWSアカウントを登録していただく必要がございます。ここでは、登録アカウント(IAM)に必要なポリシーについて説明いたします。
Cloud Automatorに必要なIAMポリシー 一覧
https://github.com/CloudAutomator/iam-policies
IAMロール方式
IAMロール方式でAWSアカウントをご登録いただきますと、Cloud Automatorに必要なIAMポリシーが登録されたIAMロールを利用可能です。
IAMロールによるAWSアカウントの登録を行う
また、新たに追加された機能を利用するための権限が必要な場合は、以下のマニュアルの手順でIAMロールの権限を最新化できます。
AWSアカウントの更新(IAMロールの権限を最新化)
IAMユーザー方式
IAMユーザー方式でAWSアカウントをご登録いただく場合は、以下の情報をご確認ください。
推奨ポリシー
Cloud AutomatorはAWSのオペレーションを自動化するツールとして、これからもトリガーとアクションを中心に、新しいAWSのサービスへの対応も含めて機能を追加していく予定です。そのため、AWS が用意している AdministratorAccess ポリシーをアタッチいただくと、新機能がリリースされた際も、すぐに該当機能がお使いいただける状態となります。
個別にポリシーを設定する場合
登録するIAMに付与する権限は最小限にされたい場合は、Cloud Automator用のIAMポリシーを公開しておりますので、そちらをご利用ください。
https://github.com/CloudAutomator/iam-policies/wiki/Cloud-Automator-IAM-policies
Cloud Automator用のポリシーを作成し、IAMユーザーやグループにアタッチします。
AWSマネジメントコンソール上での方法、AWS CLI を使った方法、の2つについて説明します。
登録方法 (AWSマネジメントコンソールでの方法)
ここでは例として、EC2用のポリシーを作成します。
- AWSマネジメントコンソールでサービス「IAM」を選択し、左メニューの「ポリシー」を選択します。
-
ポリシーの作成ボタンをクリックします。
-
「独自のポリシーを作成」を選択します。
-
ポリシーの確認画面で、「ポリシー名」を入力し、「ポリシードキュメント」にCloud Automator用のポリシードキュメントを貼り付けて、「ポリシーの作成」ボタンをクリックします。
https://github.com/CloudAutomator/iam-policies/wiki/Cloud-Automator-IAM-policies
-
一覧で「ユーザーによる管理」フィルターを選択、またはフィルタリング用入力欄に作成したポリシー名を入力すると、作成した独自ポリシーが表示されます。
- 同じ手順で、EC2 以外のサービスについても必要に応じて作成します。
- 作成したポリシーを、IAMユーザーまたはIAMグループにアタッチしてください。
以上になります。
登録方法 (AWS CLIでの方法)
各サービスのポリシーファイルは、以下のリポジトリで公開しています。 https://github.com/CloudAutomator/iam-policies
ここでは例として、EC2用のポリシーを作成します。
- 事前にそれぞれのポリシーファイルをリポジトリからダウンロードしておきます。
- IAMグループの作成を行います。
$ aws iam create-group --group-name ca-ec2-group - 作成したグループに権限の割り当てを行います。
$ aws iam put-group-policy \ --group-name ca-ec2-group \ --policy-name ca-ec2-policy \ --policy-document file://./ec2-policy.json - IAMグループにユーザーを割り当てます。
$ aws iam add-user-to-group --user-name cloudautomator --group-name ca-ec2-group - 必要なサービスについて上記作業を繰り返してください。
以上になります。