AWS へのサポートアクセス
DoiT に問い合わせを開く際、効果的に支援するためにお客様の AWS メンバーアカウントへのアクセスが必要になる場合があります。DoiT は、お客様の Amazon Web Services(AWS)アカウントにアクセスする際の透明性を完全に確保します。
重要なポイント
-
一時的な読み取り専用アクセスのために、AWS のユーザーフェデレーションブローカーの仕組みを活用します。
-
契約上の義務に基づくテクニカルサポートの提供のためにのみ、お客様の AWS アカウントにアクセスします。その他の理由でお客様の AWS アカウントにアクセスすることは決してありません。
-
サポートエンジニアはお客様の AWS アカウントへの書き込み権限を持ちません。唯一の例外は、お客様に代わって AWS サポートケースの起票およびサービスクォータの引き上げをリクエストできる点です。
-
-
当社プラットフォーム上でのお客様環境へのアクセスログの保持期間は 30 日です。お客様のアカウントで当社が実行するすべての操作の完全なログには、AWS CloudTrailをご利用いただけます。
-
良く知られた安全なエントリポイントから DoiT のみが環境にアクセスできるよう、コードレベルで暗号学的手法によりアクセス信頼ドメインの境界を確立しています。
アクセスの付与
DoiT のサポートエンジニアにフェデレーテッドアクセスを付与するには、_各 AWS メンバーアカウント_で以下のリソースを設定する必要があります。
-
DoiT 管理の ID をフェデレーションするための AWS IAM アイデンティティプロバイダ 2 つ
-
上記の ID からのアクセスを許可するために
DoiT-Support-Gatewayという名前の AWS IAM サポートロール 1 つ
これらのリソースはグローバルであるため、任意の AWS リージョンに作成できます。
必要な権限
上記の技術的前提条件を作成するには、以下の IAM ポリシーで定義された IAM 権限を_少なくとも_持つ IAM ユーザーでログインするか、IAM ロールを引き受ける必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:ListRoles",
"iam:UpdateRole",
"iam:TagRole",
"iam:UntagRole",
"iam:CreateOpenIDConnectProvider",
"iam:UpdateOpenIDConnectProviderThumbprint",
"iam:GetOpenIDConnectProvider",
"iam:ListAttachedRolePolicies",
"iam:ListOpenIDConnectProviders",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:DeleteRolePolicy",
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:role/*",
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:oidc-provider/*"
]
}
]
}
リソースの作成
必要なリソースは、管理アカウントではなく、_各 AWS メンバーアカウント_で作成する必要があります。
当社の[AWS Cloud Formation 提供のクイック作成リンク](https://console.aws.amazon.com/cloudformation/home#/stacks/create/review?templateURL=https://doit-support.s3.amazonaws.com/doit-support.json&stackName=doit-support-gateway)からの作成を推奨します。
または、次のいずれかの方法で手動でリソースを作成できます。
- AWS Cloud Formation Stack
- AWS Cloud Formation Stack Template
- Terraform
- AWS CLI
手順に従って[AWS Cloud Formation Stack の作成手順](https://console.aws.amazon.com/cloudformation/home#/stacks/create/review?templateURL=https://doit-support.s3.amazonaws.com/doit-support.json&stackName=doit-support-gateway)を実施し、最終画面で Named IAM resources の警告を確認してください。
任意機能のために提供されるパラメータ以外は、Optional Capabilities セクションを確認してください。手順の途中で提供された値を変更しないでください。変更すると処理が失敗する場合があります。
locals {
// Replace with your AWS account ID
aws_customer_account_id = "CUSTOMER_AWS_ACCOUNT_ID"
}
resource "aws_iam_openid_connect_provider" "doit1" {
client_id_list = [local.aws_customer_account_id]
thumbprint_list = ["15c2b40aa2f322798666a6b332aaa03a6773019b", "08745487e891c19e3078c1f2a07e452950ef36f6"]
url = "https://support.cre.doit-intl.com"
tags = {
"doit:support" = "true"
}
}
resource "aws_iam_openid_connect_provider" "doit2" {
client_id_list = ["doit-support"]
thumbprint_list = ["08745487e891c19e3078c1f2a07e452950ef36f6"]
url = "https://securetoken.google.com/doit-support"
tags = {
"doit:support" = "true"
}
}
resource "aws_iam_role" "doit_support_gateway" {
name = "DoiT-Support-Gateway"
inline_policy {
name = "inline"
policy = jsonencode(
{
Version= "2012-10-17"
Statement = [
{
Effect = "Allow"
Action = [
"airflow:GetEnvironment",
"airflow:List*",
"amplify:Get*",
"amplify:List*",
"backup:Describe*",
"backup:Get*",
"backup:List*",
"ce:Get*",
"ce:List*",
"ce:Describe*",
"compute-optimizer:Get*",
"compute-optimizer:Describe*",
"eks:AccessKubernetesApi",
"eks:List*",
"mobiletargeting:List*",
"redshift-serverless:List*",
"s3:GetStorageLens*",
"s3:ListStorageLens*",
"servicequotas:Get*",
"servicequotas:List*",
"servicequotas:RequestServiceQuotaIncrease",
"workspaces:List*"
]
Resource = "*"
}
]
})
}
managed_policy_arns = toset([
"arn:aws:iam::aws:policy/AmazonRDSPerformanceInsightsReadOnly",
"arn:aws:iam::aws:policy/AmazonWorkSpacesWebReadOnly",
"arn:aws:iam::aws:policy/AmazonSESReadOnlyAccess",
"arn:aws:iam::aws:policy/AWSCloudShellFullAccess",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess",
"arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess",
"arn:aws:iam::aws:policy/SecurityAudit",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess",
])
max_session_duration = 21600
assume_role_policy = jsonencode(
{
Version = "2012-10-17"
Statement = [
{
Effect = "Allow",
Action = [
"sts:AssumeRoleWithWebIdentity",
"sts:TagSession"
]
Principal = {
Federated = [
"arn:aws:iam::${local.aws_customer_account_id}:oidc-provider/support.cre.doit-intl.com",
"arn:aws:iam::${local.aws_customer_account_id}:oidc-provider/securetoken.google.com/doit-support"
]
}
Condition = {
StringEqualsIfExists = {
"support.cre.doit-intl.com:aud" = local.aws_customer_account_id
"securetoken.google.com/doit-support:aud" = "doit-support"
}
StringEquals = {
"aws:RequestTag/DoitEnvironment" = local.aws_customer_account_id
}
"ForAllValues:StringEquals" = {
"sts:TransitiveTagKeys" = ["DoitEnvironment"]
}
Null = {
"sts:TransitiveTagKeys" = "false"
}
}
}
]
}
)
tags = {
"doit:support" = "true"
}
}
CUSTOMER_AWS_ACCOUNT_ID をお客様の AWS アカウント ID に置き換えてください。
aws iam create-open-id-connect-provider \
--tags '{"Key": "doit:support", "Value": "true"}' \
--client-id-list "CUSTOMER_AWS_ACCOUNT_ID" \
--url https://support.cre.doit-intl.com \
--thumbprint-list "15c2b40aa2f322798666a6b332aaa03a6773019b"
aws iam create-open-id-connect-provider \
--tags '{"Key": "doit:support", "Value": "true"}' \
--client-id-list "doit-support" \
--url https://securetoken.google.com/doit-support \
--thumbprint-list "08745487e891c19e3078c1f2a07e452950ef36f6"
aws iam create-role --role-name DoiT-Support-Gateway \
--max-session-duration 21600 \
--tags '{"Key": "doit:support", "Value": "true"}' \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRoleWithWebIdentity",
"sts:TagSession"
],
"Principal": {
"Federated": [
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:oidc-provider/support.cre.doit-intl.com",
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:oidc-provider/securetoken.google.com/doit-support"
]
},
"Condition": {
"StringEqualsIfExists": {
"support.cre.doit-intl.com:aud": "CUSTOMER_AWS_ACCOUNT_ID",
"securetoken.google.com/doit-support:aud": "doit-support"
},
"StringEquals": {
"aws:RequestTag/DoitEnvironment": "CUSTOMER_AWS_ACCOUNT_ID"
},
"ForAllValues:StringEquals": {
"sts:TransitiveTagKeys": ["DoitEnvironment"]
},
"Null": {
"sts:TransitiveTagKeys": false
}
}
}
]
}'
aws iam put-role-policy --role-name DoiT-Support-Gateway \
--policy-name inline \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:GetEnvironment",
"airflow:List*",
"amplify:Get*",
"amplify:List*",
"backup:Describe*",
"backup:Get*",
"backup:List*",
"ce:Get*",
"ce:List*",
"ce:Describe*",
"compute-optimizer:Get*",
"compute-optimizer:Describe*",
"eks:AccessKubernetesApi",
"eks:List*",
"mobiletargeting:List*",
"redshift-serverless:List*",
"s3:GetStorageLens*",
"s3:ListStorageLens*",
"servicequotas:Get*",
"servicequotas:List*",
"servicequotas:RequestServiceQuotaIncrease",
"workspaces:List*"
],
"Resource": "*"
}]}'
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AmazonRDSPerformanceInsightsReadOnly
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AmazonWorkSpacesWebReadOnly
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AWSCloudShellFullAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AmazonSESReadOnlyAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AWSSupportAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/SecurityAudit
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
CUSTOMER_AWS_ACCOUNT_ID をお客様の AWS アカウント ID に置き換えてください。
任意の機能
AWS Premium Support
CloudFormation テンプレートには AllowSupportRunbooksExecutions というパラメータが含まれており、デフォルト値は false です。このパラメータを true に設定すると、次のトラブルシューティング用 SSM ランブックを実行するために必要な権限が追加されます。
マルチアカウントデプロイ
ケース作成と同時に DoiT のサポートエンジニアが自動的に読み取り専用アクセスを得られるよう、すべてのメンバーアカウントに事前に読み取り専用のサポートアクセスをデプロイしておくことをお勧めします。
この目的のために、CloudFormation StackSetsを使用して、AWS Organization 内のすべてのメンバーアカウント、または限定された OU やメンバーアカウントのみに、CloudFormation のサポートスタックを自動作成できます。
管理アカウントにサポートスタックは不要であり、StackSets は組織の管理アカウントにスタックをデプロイしません。これは AWS CloudFormation ドキュメントに記載されています。
以下は、最新のサポートテンプレートに基づいて StackSet を作成する CloudFormation テンプレートの例です。
AWSTemplateFormatVersion: 2010-09-09
Description: DoiT Support Role StackSet
Parameters:
OrganizationalUnitIds:
Type: CommaDelimitedList
Description: >-
Provide the organizational root OU ID (Prefix like: r-) to apply to all the accounts under this Organization.
Otherwise, provide a comma-separated list of OU ids (Prefix like: ou-).
AllowedPattern: "^(ou-|r-)[a-z0-9-]+(?:,( )*(ou-|r-)[a-z0-9-]+)*$"
Resources:
StackSetMember:
Type: "AWS::CloudFormation::StackSet"
Properties:
AutoDeployment:
RetainStacksOnAccountRemoval: false
Enabled: true
Capabilities:
- CAPABILITY_NAMED_IAM
OperationPreferences:
FailureTolerancePercentage: 0
RegionConcurrencyType: PARALLEL
PermissionModel: SERVICE_MANAGED
Parameters:
- ParameterKey: AllowSupportRunbooksExecutions
ParameterValue: "false"
- ParameterKey: GrantDiagnosticToolAccess
ParameterValue: "true"
StackInstancesGroup:
- DeploymentTargets:
OrganizationalUnitIds: !Ref OrganizationalUnitIds
Regions:
- us-east-1
StackSetName: doit-support-gateway-stackset
TemplateURL: https://doit-support.s3.amazonaws.com/doit-support.json
追加情報
-
お客様は
DoiT-Support-GatewayIAM ロールに任意の権�限を付与できます。上記で提案している権限は、ほとんど、あるいはすべてのサポートユースケースをカバーするために当社が推奨するものです。最終的に、DoiT サポートに対してお客様のアカウントへのきめ細かなアクセスを明示的に付与するかどうかの判断はお客様にあります。当社はアプリケーションレベルで AWS セッションポリシーを適用し、付与された権限が_読み取り専用およびお客様に代わるサポートリクエストの起票に厳密に限定_されるようにしています。
-
servicequotas:Get*、servicequotas:List*、servicequotas:RequestServiceQuotaIncreaseの権限により、DoiT のサポートエンジニアは現在のサービスクォータを表示し、お客様に代わって引き上げをリクエストできます。これにより、追加のアクセスやお客様側での対応を必要とせず、クォータ関連の問題により効果的に対応できます。 -
お客様は、お客様自身の Resource-based AWS IAM ポリシーの IAM 条件内で
DoiTEnvironmentAWS IAM プリンシパルセッションタグを活用し、DoiT がアクセス可能なリソースをさらに制限できます。将来的には、カスタムの AWS IAM セッションプリンシパルタグのサポートを検討しており、既存の IAM タグベースのアクセス制御セキュリティ戦略と DoiT を統合できるようにする予定です。この機能の優先度付けをご希望の場合は、お問い合わせください。