【EC2】「EC2: インスタンスを起動」アクションでEC2インスタンスが起動しません

EBSボリュームがCMKで暗号化されている場合、EC2インスタンスの起動に失敗する可能性があります。

この場合、EBSボリュームの暗号化に用いているCMKのキーポリシーで、Cloud AutomatorのIAMロールからの操作を明示的に許可する必要があります。

具体的には以下のポリシーをアタッチしてください。

 

{
  "Sid": "Allow external account Cloud Automator use of the customer managed key",
    "Effect": "Allow",
    "Principal": {
      "AWS": "<IAMロールのarn>"
    },
    "Action": [
      "kms:Encrypt",
    "kms:Decrypt",
    "kms:ReEncrypt*",
    "kms:GenerateDataKey*",
    "kms:DescribeKey"
    ],
    "Resource": "*",
    "Condition": {
      "StringEquals": {
        "kms:ViaService": "ec2.<リージョン名>.amazonaws.com"
      }
    }
},
{
  "Sid": "Allow attachment of persistent resources in external account Cloud Automator",
  "Effect": "Allow",
  "Principal": {
    "AWS": "<IAMロールのarn>"
  },
  "Action": "kms:CreateGrant",
  "Resource": "*",
  "Condition": {
    "Bool": {
      "kms:GrantIsForAWSResource": "true"
    }
  }
}

"kms:ViaService": には起動対象となるEC2インスタンスが存在するリージョンを追加してください。

<IAMロールのarn>には、Cloud AutomatorのIAMロールのarnを記載してください。

こちらはCloud Automatorにログイン後、グループ設定画面のAWSアカウントタブよりご確認いただけます。

 

 

この記事は役に立ちましたか?
0人中0人がこの記事が役に立ったと言っています
他にご質問がございましたら、リクエストを送信してください