AWS アカウントをリンクする

AWS アカウントをリンクして、プロアクティブなリソースクォータ監視、PerfectScale for Spot、PerfectScale for Commitments、リアルタイムアノマリー検出、Cloud Diagrams、Composer、Kubernetes Intelligence、各種 AWS インサイト などの高度な機能を有効化します。

必要な権限

• DoiT アカウントに Manage Settings 権限が付与されている必要があります。

アカウントをリンクする

AWS アカウントを DoiT にリンクするには:

1. DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから Data ingestion and integrations > Integrations を選択します。

2. Amazon Web Services インテグレーションカードで Manage を選択します。

3. Connect Amazon Web Services ページで Link new account を選択します。

   

続いて、必要なポリシーを含む クロスアカウント AWS IAM ロール を作成します。Create a role automatically または Create a role manually から方法を選択してください。

注意

AWS Identity and Access Management (IAM) では、1 ロールあたりマネージドポリシーはデフォルトで 10 個までというクォータが設定されています。1 つのアカウントで複数の機能を有効にするために上限を引き上げる必要がある場合は、AWS にクォータ増加リクエストを送信する必要があります。詳細については、IAM object quotas を参照してください。

ロールを自動作成する

1. Create a role automatically を選択します。

2. AWS アカウントで有効にする機能を選択します。機能を展開すると、その機能に必要な AWS ポリシーを確認できます。

   

   注意

   Real-time anomalies 機能を選択した場合は、CloudTrail イベントファイルを含む S3 バケットを指定するよう求められます。詳細については、Enable real-time anomaly on AWS accounts を参照してください。

3. AWS CloudFormation コンソールまたは AWS CloudShell を使用して、IAM ロール用の CloudFormation スタックを作成します。

   AWS CloudFormation console

   1. Link New account を選択して、AWS CloudFormation console で DoiT スタックテンプレートを起動します。

   2. US East (N. Virginia) us-east-1 リージョンにいることを確認します。

      

   3. ページ下部のチェックボックスを選択し、AWS CloudFormation がカスタム名の IAM リソースを作成する可能性があることを承認します。

      

   4. スタックを作成します。(詳細は cross-account AWS IAM Role も参照してください。)

   AWS CloudShell

   1. Prefer CLI を選択します。

   2. ポップアップウィンドウからコマンドをコピーします。

      注意

      実行前に CLI コマンドを編集する場合でも、リージョンは必ず us-east-1 のままにしてください。

   3. AWS CloudShell でコマンドを実行し、指定された CloudFormation スタックを作成します。

スタック作成後、アカウントが DoiT プラットフォームにリンクされるまで最大 30 秒かかる場合があります。成功すると、リンクされた AWS アカウントのステータスが Healthy と表示されます。

ロールを手動作成する

1. Create a role manually を選択します。

2. DoiT コンソールに表示されている Our AWS Account と Your External ID の値を控えます。

   

3. (任意) アカウントでリアルタイムアノマリー検出 を有効にする場合は、AWS CloudTrail S3 バケット名を入力し、そのバケットが存在するリージョンを指定します (バケットはサポートされているリージョン のいずれかに存在している必要があります)。

4. AWS Management Console で AWS IAM ロールを作成します。(詳細は Creating an IAM role (console) も参照してください。)

   1. AWS IAM console に移動し、左側ナビゲーションペインで Roles を選択してから Create role を選択します。

   2. trusted entity として AWS account を選択します。

   3. Another AWS account を選択し、DoiT AWS アカウント ID (Our AWS Account として DoiT コンソールに表示されている値) を入力します。

   4. Require external ID チェックボックスを選択し、External ID を入力します。

   5. Next を選択して、権限を追加します。

      有効にする機能に応じてポリシー を選択します。

      • Core には、特定の AWS マネージドポリシーをロールに追加します。

      • その他の機能については、Create policy を選択し、JSON タブに切り替えて、該当する機能のパーミッションを貼り付けてカスタムポリシーを作成します。

      参照

      AWS ドキュメント: Creating IAM policies (console)

   6. ポリシーを作成したら、元のタブに戻ります。新しいポリシーを検索リストに表示させるには、更新が必要な場合があります。

   7. Core 機能に必要な 3 つの組み込みポリシーに加え、有効にしたい機能用に作成した新しいポリシーをすべて選択します。

   8. Next を選択し、ロール名を付け、選択したポリシーを確認してから Create role を選択します。

5. ロール作成後、ロール名を選択してサマリーページを開き、ロールの ARN の値をコピーして、DoiT コンソールの Role ARN に貼り付けます。

6. Add を選択して AWS アカウントをリンクします。

成功すると、DoiT コンソール上で AWS アカウントのステータスが Healthy と表示されます。

機能ごとの権限

以下は、コア機能およびリンクされたアカウントで有効にできる一部の機能に必要な権限です。利用可能な機能の全一覧については、Security and data access policy: Amazon Web Services を参照してください。

Core、クォータ監視 など:

Core

Core 権限は、多くの DoiT プラットフォーム機能のための、最小限の読み取り専用権限セットです。次の 3 つの AWS マネージドポリシーで構成されています。

AWS managed policy	説明
SecurityAudit	セキュリティ設定メタデータの読み取りアクセスを付与します。
AWSSavingsPlansReadOnlyAccess	Savings Plans サービスへの読み取り専用アクセスを提供します。
Billing	請求およびコスト管理のための権限を付与します。

PerfectScale for Spot

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "ec2:Describe*",
        "ec2:CreateLaunchTemplate",
        "ec2:CreateLaunchTemplateVersion",
        "ec2:ModifyLaunchTemplate",
        "ec2:RunInstances",
        "ec2:TerminateInstances",
        "ec2:CreateTags",
        "ec2:DeleteTags",
        "ec2:CreateLaunchTemplateVersion",
        "ec2:CancelSpotInstanceRequests",
        "autoscaling:CreateOrUpdateTags",
        "autoscaling:UpdateAutoScalingGroup",
        "autoscaling:Describe*",
        "autoscaling:AttachInstances",
        "autoscaling:BatchDeleteScheduledAction",
        "autoscaling:BatchPutScheduledUpdateGroupAction",
        "cloudformation:ListStacks",
        "cloudformation:Describe*",
        "iam:PassRole",
        "events:PutRule",
        "events:PutTargets",
        "events:PutEvents"
      ],
      "Resource": "*",
      "Effect": "Allow"
    }
  ]
}

Quota Monitoring

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "support:DescribeTrustedAdvisorCheckSummaries",
        "support:DescribeTrustedAdvisorCheckRefreshStatuses",
        "support:DescribeTrustedAdvisorChecks",
        "support:DescribeSeverityLevels",
        "support:RefreshTrustedAdvisorCheck",
        "support:DescribeSupportLevel",
        "support:DescribeCommunications",
        "support:DescribeServices",
        "support:DescribeIssueTypes",
        "support:DescribeTrustedAdvisorCheckResult",
        "trustedadvisor:DescribeNotificationPreferences",
        "trustedadvisor:DescribeCheckRefreshStatuses",
        "trustedadvisor:DescribeCheckItems",
        "trustedadvisor:DescribeAccount",
        "trustedadvisor:DescribeAccountAccess",
        "trustedadvisor:DescribeChecks",
        "trustedadvisor:DescribeCheckSummaries"
      ],
      "Resource": "*"
    }
  ]
}

Kubernetes core

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "eks:ListAccessPolicies",
        "eks:ListAccessEntries",
        "eks:DescribeCluster",
        "eks:ListClusters"
      ],
      "Resource": "*"
    }
  ]
}

Real-time anomalies

リアルタイムアノマリーについては、IAM ポリシーに加え、CloudTrail バケットを対象とするリアルタイムアノマリー SNS トピック向けの Amazon S3 イベント通知も設定する必要があります。

IAM Policy

このポリシーにより、クロスアカウントロールは EC2 AMI の記述、KMS で暗号化されたデータの復号、および CloudTrail ログをホストする S3 バケットへのアクセスが可能になります。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowDescribeImagesForRealtimeData",
      "Effect": "Allow",
      "Action": "ec2:DescribeImages",
      "Resource": "*"
    },
    {
      "Sid": "AllowAccessToEncryptedS3Buckets",
      "Effect": "Allow",
      "Action": "kms:Decrypt",
      "Resource": "*"
    },
    {
      "Sid": "AllowCloudTrailBucketLevelAccess",
      "Effect": "Allow",
      "Action": [
        "s3:ListBucket",
        "s3:GetBucketNotification"
      ],
      "Resource": "arn:aws:s3:::YOUR_CLOUDTRAIL_BUCKET_NAME"
    },
    {
      "Sid": "AllowCloudTrailObjectLevelAccess",
      "Effect": "Allow",
      "Action": "s3:GetObject",
      "Resource": "arn:aws:s3:::YOUR_CLOUDTRAIL_BUCKET_NAME/*"
    }
  ]
}

CloudTrail S3 バケット通知

詳細な手順については、Configure S3 bucket event notification を参照してください。

注意

AWS では、各イベント通知タイプにつき宛先は 1 つのみサポートされます。CloudTrail S3 バケットで、s3:ObjectCreated:* イベントタイプが既に別の宛先向けに設定されていないことを確認してください。

DoiT Insights:

Trusted Advisor insights

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "trustedadvisor:GetRecommendation",
        "trustedadvisor:ListRecommendations",
        "trustedadvisor:ListRecommendationResources"
      ],
      "Resource": "*"
    }
  ]
}

Cost Optimization Hub insights

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "cost-optimization-hub:ListRecommendations"
      ],
      "Resource": "*"
    }
  ]
}

Security Hub insights

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "securityhub:GetFindings"
      ],
      "Resource": "*"
    }
  ]
}

リンク済みアカウントの編集

アカウントのリンク解除

アカウントのリンクを解除するには:

1. Link Amazon Web Services ページに移動します。

2. 対象のアカウントを探します。

3. アカウント行の一番右端にあるケバブメニュー (⋮) を選択します。

4. Unlink account を選択します。

   

機能アクセスの変更

機能を追加する

新しい機能を追加するには、リンクされたアカウントの IAM ロールを追加の権限で更新する必要があります。

1. アカウント行の一番右端にあるケバブメニュー（⋮）を選択します。

2. アカウントを編集 を選択します。

3. 新しい機能のチェックボックスを選択します。

4. 次のいずれかのオプションを使用して、新しい権限で IAM ロールを更新します。

   • アカウントを更新 を選択して、AWS コンソール内で CloudFormation スタックを作成します。

   • Prefer CLI を選択して、AWS CloudShell 経由で CloudFormation スタックを作成するためのコマンドを取得します。

   詳細については、ロールを自動作成する を参照してください。

機能を削除する

機能を削除するには、次の操作を行います。

1. AWS コンソールで IAM ページを開きます。

2. リンクされたアカウントのロールから、その機能に関連付けられているポリシーをデタッチします。

クロスアカウントロール

DoiT の CloudFormation スタックテンプレートは、DoiT Cloud Intelligence に一連の必要な権限を付与するクロスアカウント IAM ロールをデプロイします。この IAM ロールの定義は、次のセクションで構成されています。

• 3 つの AWS マネージドポリシー：コア機能の権限 を参照してください。

• DoiT がクロスアカウントロールを引き受け、AWS リソースに安全にアクセスできるようにする信頼ポリシー。

• インラインポリシー：

  {
    "Version": "2012-10-17",
    "Statement": [
      {
        "Action": [
          "iam:List*",
          "iam:Get*"
          ],
          "Effect": "Allow",
          "Resource": "*"
      }
    ]
  }

  • iam:List*：この権限により、List で始まる IAM アクションへのアクセスが可能になります。これらは変更を伴わないアクションであり、ユーザー・ロール・ポリシー名など、アカウント内の IAM リソースの一覧を表示する目的で一般的に使用されます。

  • iam:Get*：この権限により、Get で始まる IAM アクションへのアクセスが可能になります。これらのアクションは読み取り専用であり、可視性・コンプライアンス・監査目的で構成メタデータを取得するために一般的に使用されます。

  • "Resource": "*"：AWS IAM は、ほとんどすべての iam:List* アクションに対してリソースレベルのスコープ指定をサポートしていません。IAM はグローバルサービスであるため、Get アクションに対するリソースレベルのスコープ指定は現実的でない場合が多くあります。"Resource": "*" を使用することは、アカウント全体の可視性を確保する一般的なパターンであり、AWS 推奨のパートナーアクセスパターンと整合しています。

• アカウントで有効にすることを選択した機能に必要な権限を付与する追加ポリシー。Security and data access policy: Amazon Web Services を参照してください。