EBSボリュームがCMKで暗号化されている場合、EC2インスタンスの起動に失敗する可能性があります。
この場合、EBSボリュームの暗号化に用いているCMKのキーポリシーで、Cloud AutomatorのIAMロールからの操作を明示的に許可する必要があります。
具体的には以下のポリシーをアタッチしてください。
{
"Sid": "Allow external account Cloud Automator use of the customer managed key",
"Effect": "Allow",
"Principal": {
"AWS": "<IAMロールのarn>"
},
"Action": [
"kms:Encrypt",
"kms:Decrypt",
"kms:ReEncrypt*",
"kms:GenerateDataKey*",
"kms:DescribeKey"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"kms:ViaService": "ec2.<リージョン名>.amazonaws.com"
}
}
},
{
"Sid": "Allow attachment of persistent resources in external account Cloud Automator",
"Effect": "Allow",
"Principal": {
"AWS": "<IAMロールのarn>"
},
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"Bool": {
"kms:GrantIsForAWSResource": "true"
}
}
}
"kms:ViaService": には起動対象となるEC2インスタンスが存在するリージョンを追加してください。
<IAMロールのarn>には、Cloud AutomatorのIAMロールのarnを記載してください。
こちらはCloud Automatorにログイン後、グループ設定画面のAWSアカウントタブよりご確認いただけます。