このページでは、Cloud Automatorにグループを追加し、IAMロールを利用してAWSアカウントを登録する手順をご紹介します。Cloud Automatorはここで登録された認証情報を使用して、お客様のAWSリソースを操作し、運用を自動化します。
作業の手順
IAMロールを利用したAWSアカウントの登録は、Cloud AutomatorとAWSマネジメントコンソールの両方を使う以下のような手順になります。
- Cloud AutomatorにおけるAWSアカウントの登録作業を開始する
- AWS マネジメントコンソールにて、お客様のAWSアカウント内に「Cloud Automator専用のIAMロール」を用意するための「CloudFormationスタック」を作成する
- CloudFormationスタックの作成が完了し、それに伴ってIAMロールが作成される
- Cloud Automator側に戻り、作成されたCloudFormationスタックの情報を入力する
- Cloud AutomatorにてAWSアカウントの登録を完了する
必要となるもの
Cloud Automatorに1つのAWSアカウントを登録するにあたっては、お客様のAWSアカウント内に以下のリソースが新たに必要となります。
- 1つのCloudFormationスタック
- 1つのIAMロール
これらは以降の手順の中で作成していきますので、あらかじめ用意しておく必要はありません。
また、以下の手順の中でAWS マネジメントコンソールにアクセスすることとなりますが、AWSマネジメントコンソールにサインインするアカウントにはこちらの権限が必要になります。
ご注意
なお、Cloud Automator側のAWSアカウント毎に上記の2つのリソースが必ず必要となる点にご注意ください。既存のCloudFormationスタックやIAMロールを再利用することはできません。
つまり、「IAMロールを作成」ボタンから作成した、CloudFormationスタックの情報のみを登録出来ます。登録前に画面を閉じてしまったり、以前に作成したCloudFormationスタックは再利用できない(再度CloudFormationスタックを作成する必要がある)点にご注意ください。
AWSアカウントの認証情報を登録する
-
AWSマネジメントコンソールにアクセスし、AWSアカウントにサインインします
-
Cloud Automatorでグループの追加ページにアクセスすると「グループ基本情報」フォームが表示されます。「グループ名」および「グループカラー」を入力します
-
画面下部の「AWSアカウント」内にある「IAMロールを作成」ボタンを押して、AWSマネジメントコンソールを開きます(ブラウザの新しいウィンドウまたはタブで開かれます)
なお、以降の一連の手順の途中で画面を閉じたり再読み込みしてしまうと、再度「IAMロールを作成」ボタンを押して新しいIAMロールの作成を行う必要があるので注意してください
-
AWSマネジメントコンソールの「スタックのクイック作成」ページが表示されます。AWSマネジメントコンソールにサインインしていない場合はサインインページが表示されるので、サインインを行うと、スタックのクイック作成ページが表示されます。
この時、「スタックの名前」欄に入力されている名前はできるだけ変更しないようにしてください。変更しても動作に影響はありませんが、作成されたCloudFormationスタックとCloud Automator側のどのAWSアカウントが対応するのかを機械的に判断することができなくなるため、名前を変更する場合は「Cloud Automator側のどのAWSアカウントと対応するものなのか」を把握できるようにしておいてください。
スタックのクイック作成ページの下部にある「AWS CloudFormationによってIAMリソースが作成される場合があることを承認します」のチェックボックスをチェックして、「スタックの作成」ボタンを押します。
-
CloudFormationスタックの作成が始まります。通常2〜3分ほどで作成が完了して「CREATE_COMPLETE」という表示になります。
-
CloudFormationスタックの作成が完了したら「出力」タブを押します。ここで、キー「CloudAutomatorStackInfo」の「値」として表示されている内容をコピーします。
CloudAutomatorStackInfoの値を控えたら、AWSマネジメントコンソールは閉じてしまって構いません。
-
Cloud Automator側に戻り、「CloudAutomatorStackInfo」に先ほど控えたCloudAutomatorStackInfoの値を、「アカウント名」に任意の名前を入力して、「登録」ボタンを押します
-
AWSへのアクセスが問題なく成功すると、グループメンバーの一覧画面が表示されます
以上でAWS アカウントの認証情報の登録は完了です。
次はバックアップ対象となるEC2 インスタンスへタグ付けをしてみましょう。
(補足) AWSアカウントを解除する際の注意
Cloud Automatorにてグループ内のAWSアカウントを解除する際、お客様のAWSアカウント内に作成されているCloudFormationスタックおよびIAMロールは自動では削除されません。
グループの編集ページにて解除したいAWSアカウントの「編集」ボタンを押すと、対応するCloudFormationスタックの名前が確認できます。
この名前をもとに、AWSマネジメントコンソール側でCloudFormationスタックの削除を別途行ってください(IAMロールはCloudFormationスタックの削除に伴って自動的に削除されます)。
(補足) AWSアカウントの追加
既存のグループにAWSアカウントを追加する場合は、以下のマニュアルをご参照ください。
AWSアカウントの追加
(補足) IAMロールの作成に必要な権限
本章の手順にしたがってIAMロールの作成を進める際、ログインしているAWSアカウントにはIAMロールの作成のため、以下の権限が必要となります。