AWS アカウントをリンクする

AWS アカウントをリンクすると、プロアクティブなリソースクォータモニタリング、PerfectScale for Spot、PerfectScale for Commitments、リアルタイムアノマリー検出、Cloud Diagrams、Composer、Kubernetes Intelligence、さまざまな AWS インサイト などの高度な機能が利用可能になります。

必要な権限

• ご利用の DoiT アカウントには Manage Settings 権限が必要です。

アカウントをリンクする

AWS アカウントを DoiT にリンクするには：

1. DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから Data ingestion and integrations を選択し、AWS を選択してください。

2. Connect Amazon Web Services ページで、Link New account を選択してください。

   

必要なポリシーを含む クロスアカウント AWS IAM Role を作成してください。ロールを自動的に作成するか、ロールを手動で作成するかを選択できます。

注意

AWS Identity and Access Management（IAM）では、1 ロールあたり 10 個のマネージドポリシーというデフォルトのクォータが設定されています。1 つのアカウントで複数の機能を有効にするためにリミットを引き上げる必要がある場合は、AWS にクォータ引き上げリクエストを送信する必要があります。詳細については、IAM object quotas を参照してください。

ロールを自動的に作成する

1. Create a role automatically を選択してください。

2. AWS アカウントで有効にする機能を選択してください。機能を展開すると、その機能に必要な AWS ポリシーを確認できます。

   

   注意

   Real-time anomalies 機能を選択した場合、CloudTrail イベントファイルを格納している S3 バケットの指定が求められます。詳細については、Enable real-time anomaly on AWS accounts を参照してください。

3. AWS CloudFormation コンソールまたは AWS CloudShell を使用して、IAM ロール用の CloudFormation スタックを作成してください。

   AWS CloudFormation console

   1. Link New account を選択して、AWS CloudFormation コンソール で DoiT スタックテンプレートを起動してください。

   2. リージョンが US East (N. Virginia) us-east-1 になっていることを確認してください。

      

   3. ページ下部のチェックボックスを選択し、AWS CloudFormation がカスタム名の IAM リソースを作成する可能性があることを承認してください。

      

   4. スタックを作成してください。（クロスアカウント AWS IAM Role も参照してください。）

   AWS CloudShell

   1. Prefer CLI を選択してください。

   2. ポップアップウィンドウからコマンドをコピーしてください。

      注意

      実行前に CLI コマンドを編集する場合は、リージョンを必ず us-east-1 のままにしてください。

   3. AWS CloudShell でコマンドを実行し、指定された CloudFormation スタックを作成してください。

スタック作成後、アカウントが DoiT プラットフォームにリンクされるまで最大 30 秒ほどかかる場合があります。正常に完了すると、リンクされた AWS アカウントのステータスは Healthy と表示されます。

ロールを手動で作成する

1. Create a role manually を選択してください。

2. DoiT コンソールに表示されている Our AWS Account と Your External ID の値を控えておいてください。

   

3. （任意）アカウントでリアルタイムアノマリー検出を有効にしたい場合は、AWS CloudTrail の S3 バケット名を入力し、バケットが存在するリージョンを指定してください（バケットはサポート対象リージョンのいずれかに存在している必要があります）。

4. AWS Management Console で AWS IAM Role を作成してください。（Creating an IAM role (console) も参照してください。）

   1. AWS IAM コンソール に移動し、左側のナビゲーションペインで Roles を選択し、Create role を選択してください。

   2. trusted entity として AWS account を選択してください。

   3. Another AWS account を選択し、DoiT AWS アカウント ID（DoiT コンソールで提供される Our AWS Account）を入力してください。

   4. Require external ID のチェックボックスを選択し、External ID を入力してください。

   5. Next を選択して、権限を追加してください。

      有効にする機能に応じてポリシーを選択してください。

      • Core の場合、特定の AWS マネージドポリシーをロールに追加します。

      • その他の機能については、Create policy を選択し、JSON タブに切り替えて、該当する機能の権限を貼り付けてカスタムポリシーを作成します。

      参照

      AWS ドキュメント：Creating IAM policies (console)

   6. ポリシーを作成したら、元のタブに戻ってください。新しいポリシーを検索リストに表示させるには、更新が必要な場合があります。

   7. Core 機能に必要な 3 つの組み込みポリシーに加え、有効にしたい機能用に作成したすべての新しいポリシーを選択してください。

   8. Next を選択し、ロール名を付け、選択したポリシーを確認してから Create role を選択してください。

5. ロールを作成したら、ロール名を選択してサマリーページを開き、ロールの ARN の値をコピーして、DoiT コンソールの Role ARN に貼り付けてください。

6. Add を選択して AWS アカウントをリンクしてください。

正常に完了すると、DoiT コンソール上で AWS アカウントのステータスは Healthy と表示されます。

機能ごとの権限

リンクされたアカウントで有効にできるコア機能および一部の機能に必要な権限は以下のとおりです。利用可能な機能の完全な一覧は、Security and data access policy: Amazon Web Services を参照してください。

Core・クォータモニタリングなど：

Core

Core 権限は、多くの DoiT プラットフォーム機能に必要となる最小限の読み取り専用権限セットです。次の 3 つの AWS マネージドポリシーで構成されます。

AWS managed policy	説明
SecurityAudit	セキュリティ設定メタデータの読み取りアクセスを付与します。
AWSSavingsPlansReadOnlyAccess	Savings Plans サービスへの読み取り専用アクセスを提供します。
Billing	Billing とコスト管理に必要な権限を付与します。

PerfectScale for Spot

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:Describe*",
        "ec2:CreateLaunchTemplate",
        "ec2:CreateLaunchTemplateVersion",
        "ec2:ModifyLaunchTemplate",
        "ec2:RunInstances",
        "ec2:TerminateInstances",
        "ec2:CreateTags",
        "ec2:DeleteTags",
        "ec2:CreateLaunchTemplateVersion",
        "ec2:CancelSpotInstanceRequests",
        "autoscaling:CreateOrUpdateTags",
        "autoscaling:UpdateAutoScalingGroup",
        "autoscaling:Describe*",
        "autoscaling:AttachInstances",
        "autoscaling:BatchDeleteScheduledAction",
        "autoscaling:BatchPutScheduledUpdateGroupAction",
        "cloudformation:ListStacks",
        "cloudformation:Describe*",
        "iam:PassRole",
        "events:PutRule",
        "events:PutTargets",
        "events:PutEvents"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Quota Monitoring

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "support:DescribeTrustedAdvisorCheckSummaries",
        "support:DescribeTrustedAdvisorCheckRefreshStatuses",
        "support:DescribeTrustedAdvisorChecks",
        "support:DescribeSeverityLevels",
        "support:RefreshTrustedAdvisorCheck",
        "support:DescribeSupportLevel",
        "support:DescribeCommunications",
        "support:DescribeServices",
        "support:DescribeIssueTypes",
        "support:DescribeTrustedAdvisorCheckResult",
        "trustedadvisor:DescribeNotificationPreferences",
        "trustedadvisor:DescribeCheckRefreshStatuses",
        "trustedadvisor:DescribeCheckItems",
        "trustedadvisor:DescribeAccount",
        "trustedadvisor:DescribeAccountAccess",
        "trustedadvisor:DescribeChecks",
        "trustedadvisor:DescribeCheckSummaries"
      ],
      "Resource": "*"
    }
  ]
}

Kubernetes core

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "eks:ListAccessPolicies",
        "eks:ListAccessEntries",
        "eks:DescribeCluster",
        "eks:ListClusters"
      ],
      "Resource": "*"
    }
  ]
}

Real-time anomalies

リアルタイムアノマリーでは、IAM ポリシーに加えて、CloudTrail バケットに対してリアルタイムアノマリー SNS トピックを宛先とする Amazon S3 イベント通知を設定する必要があります。

IAM Policy

このポリシーにより、クロスアカウントロールは EC2 AMI の記述、KMS で暗号化されたデータの復号、CloudTrail ログを保持する S3 バケットへのアクセスが可能になります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDescribeImagesForRealtimeData",
      "Effect": "Allow",
      "Action": "ec2:DescribeImages",
      "Resource": "*"
    },
    {
      "Sid": "AllowAccessToEncryptedS3Buckets",
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "*"
    },
    {
      "Sid": "AllowCloudTrailBucketLevelAccess",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketNotification"
      ],
      "Resource": "arn:aws:s3:::YOUR_CLOUDTRAIL_BUCKET_NAME"
    },
    {
      "Sid": "AllowCloudTrailObjectLevelAccess",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::YOUR_CLOUDTRAIL_BUCKET_NAME/*"
    }
  ]
}

CloudTrail S3 バケット通知

詳細な手順については、Configure S3 bucket event notification を参照してください。

注意

AWS は、各イベント通知タイプにつき 1 つの宛先のみをサポートしている点に注意してください。CloudTrail S3 バケットで、s3:ObjectCreated:* イベントタイプが他の宛先向けに既に設定されていないことを確認してください。

DoiT インサイト：

Trusted Advisor insights

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "trustedadvisor:GetRecommendation",
        "trustedadvisor:ListRecommendations",
        "trustedadvisor:ListRecommendationResources"
      ],
      "Resource": "*"
    }
  ]
}

Cost Optimization Hub insights

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cost-optimization-hub:ListRecommendations"
      ],
      "Resource": "*"
    }
  ]
}

Security Hub insights

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "securityhub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}

リンク済みアカウントの編集

アカウントのリンク解除

アカウントのリンクを解除するには：

1. Link Amazon Web Services ページに移動してください。

2. 対象のアカウントを見つけてください。

3. アカウント行の一番右端にあるケバブメニュー（⋮）を選択してください。

4. Unlink account を選択してください。

   

機能アクセスの変更

機能を追加する

新しい機能を追加するには、リンクされたアカウントの IAM ロールを追加の権限で更新する必要があります。

1. アカウントエントリの最も右端にあるケバブメニュー（⋮）を選択します。

2. Edit account を選択します。

3. 新しい機能のチェックボックスを選択します。

4. 次のいずれかのオプションを使用して、新しい権限で IAM ロールを更新します。

   • Update account を選択して、AWS コンソールで CloudFormation スタックを作成します。

   • Prefer CLI を選択して、AWS CloudShell 経由で CloudFormation スタックを作成するためのコマンドを取得します。

   詳細については、ロールを自動作成する を参照してください。

機能を削除する

機能を削除するには、次の手順を実行します。

1. AWS コンソールで IAM ページを開きます。

2. リンクされたアカウントのロールで、その機能に関連付けられているポリシーをデタッチします。

クロスアカウントロール

DoiT の CloudFormation スタックテンプレート は、DoiT Cloud Intelligence に必要な権限セットを付与するクロスアカウント IAM ロールをデプロイします。この IAM ロールの定義は、次のセクションで構成されます。

• 3 つの AWS マネージドポリシー：コア機能の権限 を参照してください。

• DoiT がクロスアカウントロールを引き受けて、お客様の AWS リソースへ安全にアクセスできるようにする信頼ポリシー。

• インラインポリシー：

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Action": [
          "iam:List*",
          "iam:Get*"
          ],
          "Effect": "Allow",
          "Resource": "*"
      }
    ]
  }

  • iam:List*：この権限により、List で始まる IAM アクションへのアクセスが可能になります。これらはアカウント内のユーザー、ロール、ポリシー名など、IAM リソースのインベントリを表示するために使用される、変更を伴わないアクションです。

  • iam:Get*：この権限により、Get で始まる IAM アクションへのアクセスが可能になります。これらのアクションは読み取り専用であり、可視性、コンプライアンス、および監査目的で設定メタデータを取得するために使用されます。

  • "Resource": "*"：ほとんどの iam:List* アクションに対して、AWS IAM はリソースレベルでのスコープ指定をサポートしていません。IAM はグローバルサービスであるため、Get アクションに対するリソースレベルのスコープ指定は現実的でないことが多くなります。"Resource": "*" を使用することは、アカウント全体の可視性を実現する一般的なパターンであり、AWS 推奨のパートナーアクセスパターンとも一貫しています。

• アカウントで有効化する機能に必要な権限を付与する追加ポリシー。詳細については、Security and data access policy: Amazon Web Services を参照してください。