AWS アカウントをリンク
AWS アカウントをリンクすると、プロアクティブなリソースのクオータ監視、PerfectScale for Spot、Real-time Anomaly Detection、Cloud Diagrams、Kubernetes Intelligence、各種 AWS インサイト などの高度な機能が利用可能になります。
必要な権限
- DoiT アカウントに Manage Settings 権限が必要です。
アカウントをリンク
DoiT に AWS アカウントをリンクするには:
-
DoiT コンソールにサインインし、上部ナビゲーションのメガメニューからデータ取り込みとインテグレーションを選択し、AWS を選択してください。
-
Connect Amazon Web Services ページで、新しいアカウントをリンク を選択してください。
必要なポリシーを備えたアカウント間の AWS IAM ロールを作成してください。ロールを自動作成するか、ロールを手動作成するかを選択できます。
AWS Identity and Access Management (IAM) では、1 ロールあたりのマネージドポリシー数のデフォルトクオータは 10 です。1 つのアカウントで複数の機能を有効にするために上限を引き上げる必要がある場合は、AWS にクオータ引き上げリクエストを送信する必要があります。詳細は、IAM object quotas を参照してく�ださい。
ロールを自動作成
-
Create a role automatically を選択してください。
-
AWS アカウントで有効にする機能を選択してください。各機能を展開すると、必要な AWS ポリシーを確認できます。
注意Real-time anomalies 機能を選択した場合は、CloudTrail のイベントファイルを含む S3 バケットの指定を求められます。詳細は、Enable real-time anomaly on AWS accounts を参照してください。
-
AWS CloudFormation コンソールまたは AWS CloudShell を使用して、IAM ロール用の CloudFormation スタックを作成してください。
- AWS CloudFormation console
- AWS CloudShell
-
新しいアカウントをリンク を選択して、AWS CloudFormation console で DoiT スタックテンプレートを起動してください。
-
リージョンが
US East (N. Virginia) us-east-1であることを確認してください。
-
ページ下部のチェックボックスを選択して、AWS CloudFormation がカスタム名の IAM リソースを作成する可能性があることを確認してください。
-
スタックを作成してください。(アカウント間の AWS IAM ロールも参照)
-
Prefer CLI を選択してください。
-
ポップアップウィンドウからコマンドをコピーしてください。
注意実行前に CLI コマンドを編集する場合でも、リージョンは
us-east-1のままにする必要があります。 -
AWS CloudShell でコマンドを実行し、指定された CloudFormation スタックを作成してください。
スタック作成後、アカウントが DoiT プラットフォームにリンクされるまで最長 30 秒かかる場合があります。成功すると、リンク済みの AWS アカウントは状態が 正常 と表示されます。
ロールを手動作成
-
Create a role manually を選択してください。
-
DoiT コンソールに表示される
Our AWS AccountとYour External IDの値を控えてください。
-
(任意)アカウントでReal-time Anomaly Detection を有効にする場合は、AWS CloudTrail の S3 バケット名を入力し、バケットが存在するリージョンを指定してください(バケットはサポートされているリージョンのいずれかに存在する必要があります)。
-
AWS Management Console で AWS IAM ロールを作成してください。(Creating an IAM role (console) も参照)
-
AWS IAM console に移動し、左側のナビゲーションペインで Roles を選択し、Create role を選択してください。
-
trusted entity として AWS account を選択してください。
-
Another AWS account を選択し、DoiT の AWS アカウント ID(DoiT コンソールで提供された
Our AWS Account)を入力してください。 -
Require external IDのチェックボックスを選択し、あなたの外部 ID を入力してください。 -
Next を選択して権限を追加してください。
有効化する機能に合わせてポリシーを選択してください。
-
Core の場合、特定の AWS マネージドポリシーをロールに追加してください。
-
その他の機能の場合は、Create policy を選択し、JSON タブに切り替えて、該当機能の権限を貼り付けてカスタムポリシーを作成してください。
参照AWS ドキュメント: Creating IAM policies (console)
-
-
ポリシーを作成したら、元のタブに戻ってください。検索リストに新しいポリシーを表示するには更新が必要な場合があります。
-
有効化したい機能の新しいポリシーすべてと、Core 機能に必要な組み込みの 3 つのポリシーを選択してください。
-
Next を選択し、ロール名を付け、選択したポリシーを確認してから Create role を選択してください。
-
-
ロールを作成したら、ロール名を選択してサマリーページを開き、ロールの ARN の値をコピーして、DoiT コンソールにロール ARN を貼り付けてください。
-
Add を選択して AWS アカウントをリンクしてください。
成功すると、DoiT コンソールで AWS アカウントのステータスは Healthy と表示されます。
機能の権限
以下は、コア機能およびリンク済みアカウントで有効化できる一部機能に必要な権限です。利用可能な機能の全一覧は、セキュリティとデータアクセスに関するポリシー: Amazon Web Services を参照してください。
Core、Quota Monitoring など:
- Core
- PerfectScale for Spot
- Quota Monitoring
- Kubernetes core
- Real-time anomalies
Core 権限は、多くの DoiT プラットフォーム機能に必要となる最小限の読み取り専用権限のセットです。これは 3 つの AWS マネージドポリシーで構成されます:
| AWS マネージドポリシー | 説明 |
|---|---|
SecurityAudit | セキュリティ構成メタデータの読み取りアクセスを許可します。 |
AWSSavingsPlansReadOnlyAccess | Savings Plans サービスへの読み取り専用アクセスを提供します。 |
Billing | 請求およびコスト管理に関する権限を付与します。 |
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"ec2:Describe*",
"ec2:CreateLaunchTemplate",
"ec2:CreateLaunchTemplateVersion",
"ec2:ModifyLaunchTemplate",
"ec2:RunInstances",
"ec2:TerminateInstances",
"ec2:CreateTags",
"ec2:DeleteTags",
"ec2:CreateLaunchTemplateVersion",
"ec2:CancelSpotInstanceRequests",
"autoscaling:CreateOrUpdateTags",
"autoscaling:UpdateAutoScalingGroup",
"autoscaling:Describe*",
"autoscaling:AttachInstances",
"autoscaling:BatchDeleteScheduledAction",
"autoscaling:BatchPutScheduledUpdateGroupAction",
"cloudformation:ListStacks",
"cloudformation:Describe*",
"iam:PassRole",
"events:PutRule",
"events:PutTargets",
"events:PutEvents"
],
"Resource": "*",
"Effect": "Allow"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"support:DescribeTrustedAdvisorCheckSummaries",
"support:DescribeTrustedAdvisorCheckRefreshStatuses",
"support:DescribeTrustedAdvisorChecks",
"support:DescribeSeverityLevels",
"support:RefreshTrustedAdvisorCheck",
"support:DescribeSupportLevel",
"support:DescribeCommunications",
"support:DescribeServices",
"support:DescribeIssueTypes",
"support:DescribeTrustedAdvisorCheckResult",
"trustedadvisor:DescribeNotificationPreferences",
"trustedadvisor:DescribeCheckRefreshStatuses",
"trustedadvisor:DescribeCheckItems",
"trustedadvisor:DescribeAccount",
"trustedadvisor:DescribeAccountAccess",
"trustedadvisor:DescribeChecks",
"trustedadvisor:DescribeCheckSummaries"
],
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"eks:ListAccessPolicies",
"eks:ListAccessEntries",
"eks:DescribeCluster",
"eks:ListClusters"
],
"Resource": "*"
}
]
}
リアルタイムのアノマリーについては、IAM ポリシーに加えて、CloudTrail バケット向けの Amazon S3 イベント通知を、リアルタイムアノマリー用の SNS トピックを宛先として設定する必要があります。
IAM ポリシー
このポリシーにより、クロスアカウントロールは EC2 AMI の記述、KMS で暗号化されたデータの復号、CloudTrail ログをホストする S3 バケットへのアクセスが可能になります。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "AllowDescribeImagesForRealtimeData",
"Effect": "Allow",
"Action": "ec2:DescribeImages",
"Resource": "*"
},
{
"Sid": "AllowAccessToEncryptedS3Buckets",
"Effect": "Allow",
"Action": "kms:Decrypt",
"Resource": "*"
},
{
"Sid": "AllowCloudTrailBucketLevelAccess",
"Effect": "Allow",
"Action": [
"s3:ListBucket",
"s3:GetBucketNotification"
],
"Resource": "arn:aws:s3:::YOUR_CLOUDTRAIL_BUCKET_NAME"
},
{
"Sid": "AllowCloudTrailObjectLevelAccess",
"Effect": "Allow",
"Action": "s3:GetObject",
"Resource": "arn:aws:s3:::YOUR_CLOUDTRAIL_BUCKET_NAME/*"
}
]
}
CloudTrail の S3 バケット通知
詳細な手順は、S3 バケットのイベント通知を構成 を参照してください。
AWS は各イベント通知タイプにつき宛先は 1 つのみをサポートします。CloudTrail の S3 バケットで、既に他の宛先向けに s3:ObjectCreated:* のイベントタイプが構成されていないことを必ず確認してください。
DoiT インサイト:
- Trusted Advisor insights
- Cost Optimization Hub insights
- Security Hub insights
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:GetRecommendation",
"trustedadvisor:ListRecommendations",
"trustedadvisor:ListRecommendationResources"
],
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cost-optimization-hub:ListRecommendations"
],
"Resource": "*"
}
]
}
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"securityhub:GetFindings"
],
"Resource": "*"
}
]
}
リンク済みアカウントを編集
アカウントのリンクを解除
アカウントのリンクを解除するには:
-
Link Amazon Web Services ページに移動してください。
-
対象のアカウントを見つけてください。
-
アカ��ウント行の一番右端にあるケバブメニュー(⋮)を選択してください。
-
アカウントのリンクを解除 を選択してください。
機能アクセスを変更
機能を追加
新しい機能を追加するには、リンク済みアカウントの IAM ロールを追加の権限で更新する必要があります:
-
アカウント行の一番右端にあるケバブメニュー(⋮)を選択してください。
-
アカウントを編集 を選択してください。
-
追加する新機能のチェックボックスを選択してください。
-
次のいずれかの方法で、新しい権限を含むように IAM ロールを更新してください。
-
アカウントを更新 を選択して、AWS コンソールで CloudFormation スタックを作成します。
-
Prefer CLI を選択して、AWS CloudShell 経由で CloudFormation スタックを作成するコマンドを取得します。
詳細は、ロールを自動作成 を参照してください。
-
機能を削除
機能を削除するには:
-
AWS コンソールで IAM ページを開いてください。
-
リンク済みアカウントのロールから、その機能に関連付けられたポリシーをデタッチしてください。
クロスアカウントロール
DoiT の CloudFormation スタックテンプレートは、DoiT Cloud Intelligence に必要な一連の権限を付与するクロスアカウント IAM ロールをデプロイします。この IAM ロールの定義は次のセクションで構成されます:
-
3 つの AWS マネージドポリシー: コア機能の権限 を参照してください。
-
DoiT がクロスアカウントロールを引き受け、AWS リソースへ安全にアクセスできるようにする信頼ポリシー。
-
インラインポリシー:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:List*",
"iam:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}-
iam:List*: この権限により、Listで始まる IAM アクションへのアクセスが可能になります。これらは非破壊のアクションであり、アカウント内のユーザー名、ロール、ポリシーなど IAM リソースのインベントリ�を表示する目的で一般的に使用されます。 -
iam:Get*: この権限により、Getで始まる IAM アクションへのアクセスが可能になります。これらは読み取り専用のアクションであり、可視性、コンプライアンス、監査目的で構成メタデータを取得する際に一般的に使用されます。 -
"Resource": "*": AWS IAM は、ほとんどのiam:List*アクションに対してリソースレベルのスコープ指定をサポートしていません。IAM はグローバルサービスであるため、Getアクションのリソースレベルのスコープ指定はしばしば非現実的です。"Resource": "*"の使用はアカウント全体の可視性を確保する一般的なパターンであり、AWS 推奨のパートナーアクセスパターンと整合しています。
-
-
アカウントで有効化する機能に必要な権限を付与する追加のポリシー。詳しくは、セキュリティとデータアクセスに関するポリシー: Amazon Web Services を参照してください。