AWS へのサポートアクセス
DoiT に問い合わせを開く際、効果的に支援するために、必要に応じてお客様の AWS メンバーアカウントへのアクセスが必要になる場合があります。DoiT は、お客様の Amazon Web Services(AWS)アカウントへアクセスする際、完全な透明性を提供します。
重要なポイント
-
一時的な読み取り専用アクセスのために、AWS ユーザーフェデレーションブローカー機構 を活用します。
-
当社は契約上の義務に基づくテクニカルサポート提供のためにのみ、お客様の AWS アカウントへアクセスします。その他の理由でお客様の AWS アカウントへアクセスすることは決してありません。
-
サポートエンジニアはお客様の AWS アカウントへの書き込み権限を持ちません。唯一の例外は、当社がお客様に代わって AWS サポートケースを起票し、サービスクォータの引き上げをリクエストできる点です。
-
-
当社プラットフォーム上でお客様環境へのアクセスログを保持する期間は 30 日です。�お客様は、当社がお客様のアカウント上で実行したすべてのアクションの完全なログとして AWS CloudTrail を使用できます。
-
当社は、コードレベルで暗号学的手段によりアクセス用の信頼ドメイン境界を確立し、よく知られた安全なエントリポイントから DoiT のみがお客様の環境へアクセスできるようにしています。
アクセスの付与
DoiT のサポートエンジニアにフェデレーテッドアクセスを付与するには、お客様の各 AWS メンバーアカウント に以下のリソースを設定する必要があります。
- DoiT 管理のアイデンティティをフェデレートするための 2 つの AWS IAM アイデンティティプロバイダ
- 上記アイデンティティからのアクセスを許可する
DoiT-Support-Gatewayという名前の 1 つの AWS IAM サポートロール
これらのリソースはグローバルであるため、任意の AWS リージョンにインストールできます。
必要な権限
上記の技術的前提条件を作成するには、以下の IAM ポリシーで定義された IAM 権限を 少なくとも 持つ IAM ユーザーでサインインするか、IAM ロールを引き受ける�必要があります。
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:GetRole",
"iam:ListRoles",
"iam:UpdateRole",
"iam:TagRole",
"iam:UntagRole",
"iam:CreateOpenIDConnectProvider",
"iam:UpdateOpenIDConnectProviderThumbprint",
"iam:GetOpenIDConnectProvider",
"iam:ListAttachedRolePolicies",
"iam:ListOpenIDConnectProviders",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:PutRolePolicy",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:DeleteRolePolicy",
"iam:UpdateAssumeRolePolicy"
],
"Resource": [
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:role/*",
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:oidc-provider/*"
]
}
]
}
リソースの作成
必要なリソースは、マネジメントアカウントではなく、お客様の各 AWS メンバーアカウント に作成する必要があります。
当社の提供する AWS Cloud Formation のクイック作成リンク を使用してリソースを作成することを推奨します。
または、次のいずれかの方法で手動でリソースを作成できます。
- AWS Cloud Formation Stack
- AWS Cloud Formation Stack Template
- Terraform
- AWS CLI
手順に沿って AWS Cloud Formation Stack ��の作成手順 を実行し、最終画面で Named IAM resources の警告を確認してください。
オプション機能向けに提供されるパラメータ以外は、Optional Capabilities のセクションを確認してください。ステップごとの途中で提供された値を変更しないでください。変更すると処理が失敗する可能性があります。
locals {
// Replace with your AWS account ID
aws_customer_account_id = "CUSTOMER_AWS_ACCOUNT_ID"
}
resource "aws_iam_openid_connect_provider" "doit1" {
client_id_list = [local.aws_customer_account_id]
thumbprint_list = ["15c2b40aa2f322798666a6b332aaa03a6773019b", "08745487e891c19e3078c1f2a07e452950ef36f6"]
url = "https://support.cre.doit-intl.com"
tags = {
"doit:support" = "true"
}
}
resource "aws_iam_openid_connect_provider" "doit2" {
client_id_list = ["doit-support"]
thumbprint_list = ["08745487e891c19e3078c1f2a07e452950ef36f6"]
url = "https://securetoken.google.com/doit-support"
tags = {
"doit:support" = "true"
}
}
resource "aws_iam_role" "doit_support_gateway" {
name = "DoiT-Support-Gateway"
inline_policy {
name = "inline"
policy = jsonencode(
{
Version= "2012-10-17"
Statement = [
{
Effect = "Allow"
Action = [
"airflow:GetEnvironment",
"airflow:List*",
"amplify:Get*",
"amplify:List*",
"backup:Describe*",
"backup:Get*",
"backup:List*",
"ce:Get*",
"ce:List*",
"ce:Describe*",
"compute-optimizer:Get*",
"compute-optimizer:Describe*",
"eks:AccessKubernetesApi",
"eks:List*",
"mobiletargeting:List*",
"redshift-serverless:List*",
"s3:GetStorageLens*",
"s3:ListStorageLens*",
"servicequotas:Get*",
"servicequotas:List*",
"servicequotas:RequestServiceQuotaIncrease",
"workspaces:List*"
]
Resource = "*"
}
]
})
}
managed_policy_arns = toset([
"arn:aws:iam::aws:policy/AmazonRDSPerformanceInsightsReadOnly",
"arn:aws:iam::aws:policy/AmazonWorkSpacesWebReadOnly",
"arn:aws:iam::aws:policy/AmazonSESReadOnlyAccess",
"arn:aws:iam::aws:policy/AWSCloudShellFullAccess",
"arn:aws:iam::aws:policy/AWSSupportAccess",
"arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess",
"arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess",
"arn:aws:iam::aws:policy/SecurityAudit",
"arn:aws:iam::aws:policy/job-function/ViewOnlyAccess",
])
max_session_duration = 21600
assume_role_policy = jsonencode(
{
Version = "2012-10-17"
Statement = [
{
Effect = "Allow",
Action = [
"sts:AssumeRoleWithWebIdentity",
"sts:TagSession"
]
Principal = {
Federated = [
"arn:aws:iam::${local.aws_customer_account_id}:oidc-provider/support.cre.doit-intl.com",
"arn:aws:iam::${local.aws_customer_account_id}:oidc-provider/securetoken.google.com/doit-support"
]
}
Condition = {
StringEqualsIfExists = {
"support.cre.doit-intl.com:aud" = local.aws_customer_account_id
"securetoken.google.com/doit-support:aud" = "doit-support"
}
StringEquals = {
"aws:RequestTag/DoitEnvironment" = local.aws_customer_account_id
}
"ForAllValues:StringEquals" = {
"sts:TransitiveTagKeys" = ["DoitEnvironment"]
}
Null = {
"sts:TransitiveTagKeys" = "false"
}
}
}
]
}
)
tags = {
"doit:support" = "true"
}
}
CUSTOMER_AWS_ACCOUNT_ID をお客様の AWS アカウント ID に置き換えてください。
aws iam create-open-id-connect-provider \
--tags '{"Key": "doit:support", "Value": "true"}' \
--client-id-list "CUSTOMER_AWS_ACCOUNT_ID" \
--url https://support.cre.doit-intl.com \
--thumbprint-list "15c2b40aa2f322798666a6b332aaa03a6773019b"
aws iam create-open-id-connect-provider \
--tags '{"Key": "doit:support", "Value": "true"}' \
--client-id-list "doit-support" \
--url https://securetoken.google.com/doit-support \
--thumbprint-list "08745487e891c19e3078c1f2a07e452950ef36f6"
aws iam create-role --role-name DoiT-Support-Gateway \
--max-session-duration 21600 \
--tags '{"Key": "doit:support", "Value": "true"}' \
--assume-role-policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"sts:AssumeRoleWithWebIdentity",
"sts:TagSession"
],
"Principal": {
"Federated": [
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:oidc-provider/support.cre.doit-intl.com",
"arn:aws:iam::CUSTOMER_AWS_ACCOUNT_ID:oidc-provider/securetoken.google.com/doit-support"
]
},
"Condition": {
"StringEqualsIfExists": {
"support.cre.doit-intl.com:aud": "CUSTOMER_AWS_ACCOUNT_ID",
"securetoken.google.com/doit-support:aud": "doit-support"
},
"StringEquals": {
"aws:RequestTag/DoitEnvironment": "CUSTOMER_AWS_ACCOUNT_ID"
},
"ForAllValues:StringEquals": {
"sts:TransitiveTagKeys": ["DoitEnvironment"]
},
"Null": {
"sts:TransitiveTagKeys": false
}
}
}
]
}'
aws iam put-role-policy --role-name DoiT-Support-Gateway \
--policy-name inline \
--policy-document '{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"airflow:GetEnvironment",
"airflow:List*",
"amplify:Get*",
"amplify:List*",
"backup:Describe*",
"backup:Get*",
"backup:List*",
"ce:Get*",
"ce:List*",
"ce:Describe*",
"compute-optimizer:Get*",
"compute-optimizer:Describe*",
"eks:AccessKubernetesApi",
"eks:List*",
"mobiletargeting:List*",
"redshift-serverless:List*",
"s3:GetStorageLens*",
"s3:ListStorageLens*",
"servicequotas:Get*",
"servicequotas:List*",
"servicequotas:RequestServiceQuotaIncrease",
"workspaces:List*"
],
"Resource": "*"
}]}'
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AmazonRDSPerformanceInsightsReadOnly
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AmazonWorkSpacesWebReadOnly
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AWSCloudShellFullAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AmazonSESReadOnlyAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AWSBillingReadOnlyAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/AWSSupportAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/CloudWatchReadOnlyAccess
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/SecurityAudit
aws iam attach-role-policy --role-name DoiT-Support-Gateway --policy-arn arn:aws:iam::aws:policy/job-function/ViewOnlyAccess
CUSTOMER_AWS_ACCOUNT_ID をお客様の AWS アカウント ID に置き換えてください。
オプション機能
AWS Premium Support
CloudFormation テンプレートには、デフォルト値が false の AllowSupportRunbooksExecutions というパラメータが含まれています。このパラメータを true に設定すると、以下のトラブルシューティング用 SSM ランブックを実行するために必要な権限が追加されます。
複数アカウントへのデプロイ
ケースが作成されると同時に DoiT のサポートエンジニアが自動的に読み取り専用アクセスを得られるよう、すべてのメンバーアカウントに事前に読み取り専用のサポートアクセスをデプロイしておくことをお勧めします。
この目的のため、CloudFormation StackSets を使用して、AWS Organization 内のすべてのメンバーアカウント、または限定された OU やメンバーアカウントの集合に、CloudFormation のサポートスタックを自動作成できます。
当社はマネジメントアカウントでのサポートスタックを必要としません。また、StackSets は組織のマネジメントアカウントへスタックをデプロイしません。これは AWS CloudFormation ドキュメントで言及されています。
以下は、最新のサポートテンプレートに基づいて StackSet を作成する CloudFormation テンプレートの例です。
AWSTemplateFormatVersion: 2010-09-09
Description: DoiT Support Role StackSet
Parameters:
OrganizationalUnitIds:
Type: CommaDelimitedList
Description: >-
Provide the organizational root OU ID (Prefix like: r-) to apply to all the accounts under this Organization.
Otherwise, provide a comma-separated list of OU ids (Prefix like: ou-).
AllowedPattern: "^(ou-|r-)[a-z0-9-]+(?:,( )*(ou-|r-)[a-z0-9-]+)*$"
Resources:
StackSetMember:
Type: "AWS::CloudFormation::StackSet"
Properties:
AutoDeployment:
RetainStacksOnAccountRemoval: false
Enabled: true
Capabilities:
- CAPABILITY_NAMED_IAM
OperationPreferences:
FailureTolerancePercentage: 0
RegionConcurrencyType: PARALLEL
PermissionModel: SERVICE_MANAGED
Parameters:
- ParameterKey: AllowSupportRunbooksExecutions
ParameterValue: "false"
- ParameterKey: GrantDiagnosticToolAccess
ParameterValue: "true"
StackInstancesGroup:
- DeploymentTargets:
OrganizationalUnitIds: !Ref OrganizationalUnitIds
Regions:
- us-east-1
StackSetName: doit-support-gateway-stackset
TemplateURL: https://doit-support.s3.amazonaws.com/doit-support.json
追加情報
-
DoiT-Support-GatewayIAM ロールに対しては、任意の権限を付与できます。上記で提案している権限は、ほとんど、あるいはすべてのサポートユースケースをカバーするために当社が推奨するものです。お客様のアカウントに対して DoiT サポートへ明示的かつきめ細かなアクセスを付与するかどうかの判断は、最終的にはお客様に委ねられます。当社はアプリケーションレベルで AWS セッションポリシー を適用し、付与された権限が_読み取り専用と、お客様に代わってサポートリクエストを起票することに厳密に制限_されていることを保証します。
-
servicequotas:Get*、servicequotas:List*、servicequotas:RequestServiceQuotaIncreaseの権限により、DoiT のサポートエンジニアはお客様の現在のサービスクォ�ータを確認し、お客様に代わって引き上げをリクエストできます。これにより、追加のアクセスやお客様チームの作業を必要とせずに、クォータ関連の問題に対してより効果的に支援できます。 -
お客様は、お客様自身の Resource-based AWS IAM ポリシーの IAM 条件 内で
DoiTEnvironmentAWS IAM Principal セッションタグを活用し、DoiT がアクセス可能なリソースをさらに制限できます。将来的にはカスタムの AWS IAM セッション Principal タグをサポートし、既存の IAM タグベースのアクセス制御セキュリティ戦略と DoiT を統合できるようにする可能性があります。優先対応をご希望の場合は、お問い合わせ ください。