このページでは、Cloud Automatorにグループを追加し、AWSアカウントを登録する手順をご紹介します。AWSアカウントの登録方法には「IAMロールを利用した登録」と「AWS Organizations連携によるメンバーアカウントの紐づけ」の2つの方式があります。Cloud Automatorはここで登録された認証情報を使用して、お客様のAWSリソースを操作し、運用を自動化します。

IAMロールを利用してAWSアカウントを登録する

作業の手順

IAMロールを利用したAWSアカウントの登録は、Cloud AutomatorとAWSマネジメントコンソールの両方を使う以下のような手順になります。

1. Cloud AutomatorにおけるAWSアカウントの登録作業を開始する
2. AWS マネジメントコンソールにて、お客様のAWSアカウント内に「Cloud Automator専用のIAMロール」を用意するための「CloudFormationスタック」を作成する
3. CloudFormationスタックの作成が完了し、それに伴ってIAMロールが作成される
4. Cloud Automator側に戻り、作成されたCloudFormationスタックの情報を入力する
5. Cloud AutomatorにてAWSアカウントの登録を完了する

必要となるもの

Cloud Automatorに1つのAWSアカウントを登録するにあたっては、お客様のAWSアカウント内に以下のリソースが新たに必要となります。

• 1つのCloudFormationスタック
• 1つのIAMロール

これらは以降の手順の中で作成していきますので、あらかじめ用意しておく必要はありません。
また、以下の手順の中でAWS マネジメントコンソールにアクセスすることとなりますが、AWSマネジメントコンソールにサインインするアカウントにはこちらの権限が必要になります。

AWSアカウントの認証情報を登録する

1. AWSマネジメントコンソールにアクセスし、AWSアカウントにサインインします

2. Cloud Automatorでグループの追加ページにアクセスすると「グループの追加」方式選択画面が表示されます。「単一のAWSアカウントまたはGoogle Cloudアカウントをグループに登録」を選択します。

   

3. 「グループ基本情報」フォームが表示されます。「グループ名」および「グループカラー」、必要に応じて「利用不可アクション設定」を入力してください

   

4. 画面下部の「AWSアカウント」内にある「IAMロールを作成」ボタンを押して、AWSマネジメントコンソールを開きます（ブラウザの新しいウィンドウまたはタブで開かれます）

   

   なお、以降の一連の手順の途中で画面を閉じたり再読み込みしてしまうと、再度「IAMロールを作成」ボタンを押して新しいIAMロールの作成を行う必要があるので注意してください

5. AWSマネジメントコンソールの「スタックのクイック作成」ページが表示されます。AWSマネジメントコンソールにサインインしていない場合はサインインページが表示されるので、サインインを行うと、スタックのクイック作成ページが表示されます。

   

   この時、「スタックの名前」欄に入力されている名前はできるだけ変更しないようにしてください。変更しても動作に影響はありませんが、作成されたCloudFormationスタックとCloud Automator側のどのAWSアカウントが対応するのかを機械的に判断することができなくなるため、名前を変更する場合は「Cloud Automator側のどのAWSアカウントと対応するものなのか」を把握できるようにしておいてください。

   スタックのクイック作成ページの下部にある「AWS CloudFormationによってIAMリソースが作成される場合があることを承認します」のチェックボックスをチェックして、「スタックの作成」ボタンを押します。

   

6. CloudFormationスタックの作成が始まります。通常2〜3分ほどで作成が完了して「CREATE_COMPLETE」という表示になります。

   

7. CloudFormationスタックの作成が完了したら「出力」タブを押します。ここで、キー「CloudAutomatorStackInfo」の「値」として表示されている内容をコピーします。

   

   CloudAutomatorStackInfoの値を控えたら、AWSマネジメントコンソールは閉じてしまって構いません。

8. Cloud Automator側に戻り、「CloudAutomatorStackInfo」に先ほど控えたCloudAutomatorStackInfoの値を、「アカウント名」に任意の名前を入力して、「登録」ボタンを押します

   

9. AWSへのアクセスが問題なく成功すると、グループメンバーの一覧画面が表示されます

   

(補足) AWSアカウントを解除する際の注意

Cloud Automatorにてグループ内のAWSアカウントを解除する際、お客様のAWSアカウント内に作成されているCloudFormationスタックおよびIAMロールは自動では削除されません。

グループの編集ページにて解除したいAWSアカウントの「編集」ボタンを押すと、対応するCloudFormationスタックの名前が確認できます。

この名前をもとに、AWSマネジメントコンソール側でCloudFormationスタックの削除を別途行ってください（IAMロールはCloudFormationスタックの削除に伴って自動的に削除されます）。

(補足) AWSアカウントの追加

既存のグループにAWSアカウントを追加する場合は、以下のマニュアルをご参照ください。
AWSアカウントの追加

(補足) IAMロールの作成に必要な権限

本章の手順にしたがってIAMロールの作成を進める際、ログインしているAWSアカウントにはIAMロールの作成のため、以下の権限が必要となります。

AWS Organizations連携を利用してメンバーアカウントを紐づけたグループを追加する

ここでは、AWS Organizations連携を利用して、メンバーアカウントを紐づけたグループをCloud Automatorに追加する手順をご紹介します。AWS Organizations連携では、管理アカウントで作成されたStackSetを通じて各メンバーアカウントにIAMロールが自動的にデプロイされるため、個別にCloudFormationスタックを作成する必要がありません。

前提条件

この手順を実施するにあたって、以下の前提条件を満たしている必要があります。

• Cloud Automatorの組織にて、AWS Organizations連携が設定済みであること
  • AWS Organizationsの連携方法についてはこちらをご参照ください
• AWS Organizations連携によるStackSetのデプロイが完了しており、メンバーアカウントにIAMロールが作成されていること
• Cloud Automatorの操作ユーザーが、グループの作成権限を持っていること

作業の手順

AWS Organizations連携を利用したグループ追加は、Cloud Automatorの画面上で以下のように操作します。AWSマネジメントコンソールでの操作は不要です。

1. Cloud Automatorのグループ追加ページにアクセスする
2. 「AWS Organizationsメンバーアカウント」方式を選択する
3. グループ基本情報（グループ名・グループカラー）を入力する
4. グループに紐づけるメンバーアカウントを選択する
5. グループの追加を完了する

グループを追加してメンバーアカウントを紐づける

1. Cloud Automatorにログインし、サイドバーの「グループ」メニューからグループ一覧ページにアクセスします。画面上部の「グループ追加」ボタンを押します。

2. 「グループの追加」方式選択画面が表示されます。「AWS Organizationsのメンバーアカウントをグループに登録」を選択します。

   

3. グループの追加画面が表示されます。まず「グループ基本情報」セクションで以下の項目を入力してください。

   ・ グループ名（必須）：グループの名称を入力します

   ・ グループカラー（必須）：グループを識別するための色を選択します

   ・ 利用不可アクション設定（任意）：このグループで利用を制限するアクションがある場合に設定します

   

4. 「AWS Organizations メンバーアカウント」セクションでは、グループに紐づけるメンバーアカウントを選択します。

   画面は左右2つのリストで構成されています。

   ・ 左側リスト：AWS Organizationsに属するメンバーアカウントの一覧です

   ・ 右側リスト：このグループに登録するメンバーアカウントです

   

   左側リストからメンバーアカウントをクリックすると、右側リストに追加されます。右側リストのメンバーアカウントをクリックすると、選択が解除されます。

   メンバーアカウントの絞り込み

   左側リストの上部にある検索フィールドで、メンバーアカウントをアカウント番号・アカウント名・メールアドレスで絞り込むことができます。

   また、「グループ未登録」チェックボックスをオンにすると、まだどのグループにも登録されていないメンバーアカウントのみが表示されます。

5. 複数のAWS Organizations連携が設定されている場合は、左側リストの上部にあるプルダウンで、対象のOrganization連携を切り替えることができます。プルダウンには「(Organization ID) 管理アカウント番号: 管理アカウント名」の形式で表示されます。
6. グループ基本情報の入力とメンバーアカウントの選択が完了したら、画面下部の「この内容でグループを追加」ボタンを押します。

7. グループの作成とメンバーアカウントの紐づけが完了すると、グループメンバーの一覧画面に遷移します。

   

(補足) 既存のグループにメンバーアカウントを追加する

既にあるグループにメンバーアカウントを追加する場合は、以下の手順で行います。

1. グループの編集ページにアクセスし、「AWSアカウント」セクションの「Organizationsメンバーアカウントの追加」ボタンを押します。
2. モーダルダイアログが表示され、メンバーアカウントの選択画面が開きます。上記の新規作成時と同様に、対象のメンバーアカウントを選択します。
3. 「EBSバックアップチェック」の設定を選択します。EBSバックアップチェックが必要な場合は「チェックする」を選択してください。
4. 「メンバーアカウントの追加」ボタンを押すと、選択したメンバーアカウントがグループに追加されます。

(補足) トラブルシューティング

メンバーアカウントが表示されない場合

メンバーアカウントの一覧にアカウントが表示されない場合は、以下をご確認ください。

• AWS Organizations連携のステータスが正常であること
• StackSetのデプロイが完了し、各メンバーアカウントにIAMロールが作成されていること
• 「グループ未登録」チェックボックスがオンの場合、すべてのメンバーアカウントが既にグループに登録済みではないこと
• 検索フィールドに入力されている絞り込みキーワードが適切であること

グループの作成に失敗する場合

「グループの作成に失敗しました」というエラーが表示される場合は、以下をご確認ください。

• グループ名が他のグループと重複していないこと
• メンバーアカウントが1件以上選択されていること
• AWS Organizations連携の設定が有効であること