1. サーバーワークス サポートセンター
  2. Cloud Automator よくあるご質問
  3. AWS認証情報

IAMユーザー方式からIAMロール方式への変換方法

このマニュアルでは、Cloud Automatorに登録されているAWSアカウントの認証方式を、IAMユーザー方式からIAMロール方式に変換する手順を説明します。

AWS Organizations連携のメンバーアカウントへ移行する場合の注意

IAMユーザー方式で登録されているAWSアカウントを、AWS Organizations連携の既存アカウント移行機能を使ってメンバーアカウント(IAMロール方式)に移行する場合、移行前後でCloud Automatorに付与されるAWSの権限が変わる可能性があります。

移行を実行すると、StackSetによってデプロイされた標準のIAMロールに切り替わります。この操作は元に戻すことができません。移行後に意図しない差異が発生しないよう、移行前に現在のIAMユーザーに付与されている権限を確認しておくことを推奨します。詳しくは移行前の権限確認(AWS Organizations連携のメンバーアカウントへ移行する場合)をご参照ください。

事前準備

変換作業を始める前に、以下の準備が必要です。

権限の確認

  • Cloud Automatorのオーナー、または管理者権限が必要
  • メンバー権限では変換できません

AWSアカウントの確認

変換可能なAWSアカウントの条件:

  • IAMユーザー方式で登録されていること
  • まだIAMロール方式に変換されていないこと
  • AWSアカウント番号が登録されていること
  • IAMユーザーに cloudformation:DescribeStacks 権限が付与されていること

ご注意

AWSアカウントが登録されていない場合は変換できません。変換を行いたい場合はサポートまでお問い合わせください。

AWSマネジメントコンソールへのアクセス

移行前の権限確認(AWS Organizations連携のメンバーアカウントへ移行する場合)

AWS Organizations連携の既存アカウント移行機能を使って、IAMユーザー方式のAWSアカウントをメンバーアカウント(IAMロール方式)に移行する場合、移行前後で権限が変わる可能性があります。

権限が変わる理由

IAMユーザー方式では、お客様がAWSマネジメントコンソール上で作成したIAMユーザーに対して、任意のIAMポリシーを付与できます。そのため、Cloud Automator用のIAMユーザーに対して以下のようなカスタマイズが行われている場合があります。

  • Cloud Automatorが標準で必要とする権限に加え、追加の権限が付与されている
  • Cloud Automatorが標準で必要とする権限の一部が意図的に制限されている
  • 特定のリソースに限定したポリシー(リソースベースの制限)が設定されている
  • 条件キー(Condition)による細かなアクセス制御が設定されている

メンバーアカウントへ移行すると、AWS Organizations連携のStackSetによってデプロイされた標準的な権限セットのIAMロールに切り替わります。IAMユーザーに設定していたカスタムポリシーはIAMロールには引き継がれないため、移行前後でCloud Automatorに付与されている権限に差異が生じる場合があります。

移行前の確認手順

移行前に、以下の手順で現在のIAMユーザーに付与されている権限を確認しておくことを推奨します。

  1. AWSマネジメントコンソールにサインインし、対象のAWSアカウントにアクセスします
  2. IAMコンソールを開き、Cloud Automator用に作成されたIAMユーザーを選択します
  3. 「許可」タブを開き、IAMユーザーにアタッチされているポリシーの一覧を確認します。以下の情報を控えておいてください。
    アタッチされているポリシー名(マネージドポリシー・インラインポリシーの両方)
    各ポリシーの内容(許可されているアクション・リソース・条件)
    所属しているグループ(グループ経由でポリシーが付与されている場合)
  4. 確認した権限の内容を記録しておきます。移行後のIAMロールの権限と比較する際に使用します。

手順

  1. サイドメニューの「グループ管理」を開いて「グループ一覧」をクリックします
    1グループ一覧.png
  2. 「グループ一覧」にて対象のAWSアカウントが属するグループ名をクリックして、「グループ設定」に移動します
    2グループ一覧.png
  3. 「グループ設定」の「AWSアカウント」タブをクリックします
    3AWSアカウント.png
  4. 対象のAWSアカウントの「IAMロールへ変換」ボタンをクリックします
    4IAMロール変更ボタン.png
  5. 「IAMロール方式への変換」ダイアログが表示され、STEP1に変換対象のAWSにログインをしているかの確認が出るので、サインインができていればチェックボックスをクリックします
    5ダイアログチェックボックス.png
  6. STEP2の「IAMロールを作成」ボタンをクリックし、AWSマネジメントコンソールを開きます
    6IAMロールボタン.png
  7. AWSマネジメントコンソールの「スタックのクイック作成」ページが表示されます。
    7-1スタックのクイック作成.png
    この時、「スタックの名前」欄に入力されている名前はできるだけ変更しないようにしてください。変更しても動作に影響はありませんが、作成されたCloudFormationスタックとCloud Automator側のどのAWSアカウントが対応するかを機械的に判断することができなくなります。もしも名前を変更する場合は「Cloud Automator側のどのAWSアカウントと対応するものなのか」を把握できるようにしておいてください。

    スタックのクイック作成ページの下部にある「AWS CloudFormationによってIAMリソースが作成される場合があることを承認します」のチェックボックスをチェックして、「スタックの作成」ボタンを押します。
    7-2確認.png
  8. CloudFormationスタックの作成が始まります。通常2~3分ほどで作成が完了して「CREATE_COMPLETE」という表示になります。
    8スタック作成確認.png
  9. CloudFormationスタックの作成が完了したら「出力」タブを押します。ここでキー「CloudAutomatorStackInfo」の「値」として表示されている内容をコピーします。
    9イベント.png
  10. Cloud Automator側に戻り、「CloudAutomatorStackInfo」に先ほど控えたCloudAutomatorStackInfoの値を入力して、「変換を実行」ボタンを押します。
    10変換実行.png
  11. 変換が問題なく成功すると、IAMロールの権限列が最新と表示されます
    11最終確認.png

以上でIAMロール方式への変換作業は完了です。

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください

関連記事

このセクションの記事

もっと見る