AWS アカウントをリンク
AWS アカウントを DoiT プラットフォームに接続した後、アカウント上で PerfectScale for Spot、real-time anomaly detection、Cloud Diagrams、Composer、Kubernetes Intelligence などの高度な機能を有効にするには、DoiT に AWS 環境へのアクセス権限を付与する クロスアカウント AWS IAM ロール を作成する必要があります。
AWS アカウントは、DoiT コンソール経由 または Terraform を使用 してリンクできます。
必要な権限
-
ご利用の DoiT アカウントに Manage Settings 権限が付与されている必要があります。
-
リンクしたいアカウントについて、IAM リソース (ロールおよびポリシー) を作成できる権限を持つ AWS 認証情報が必要です。
-
有効にする機能に基づき、追加の権限が必要になる場合があります。たとえば real-time anomaly detection を有効にするには、S3 bucket 通知を設定する権限も必要です。
クロスアカウントロール
DoiT の CloudFormation スタックテンプレート は、DoiT Cloud Intelligence に必要な権限を付与するクロスアカウント IAM ロールをデプロイします (同等の IAM ロールは Terraform モジュール を介して作成されます)。この IAM ロールの定義は、次のセクションで構成されています。
-
3 つの AWS マネージドポリシー: コア機能の権限 を参照してください。
-
ご利用の Cloud Intelligence プラン内の他の DoiT 機能に必要な読み取り専用権限。
-
DoiT がクロスアカウントロールを引き受け、AWS リソースに安全にアクセスできるようにする信頼ポリシー。
-
インラインポリシー:
{
"Version": "2012-10-17",
"Statement": [
{
"Action": [
"iam:List*",
"iam:Get*"
],
"Effect": "Allow",
"Resource": "*"
}
]
}-
iam:List*: この権限により、Listで始まる IAM アクションへのアクセスが許可されます。これらは変更を伴わないアクションであり、アカウント内のユーザー、ロール、ポリシー名など IAM リソースのインベントリを表示する用途で一般的に使用されます。 -
iam:Get*: この権限により、Getで始まる IAM アクションへのアクセスが許可されます。これらのアクションは読み取り専用であり、可視性、コンプライアンス、監査目的で構成メタデータを取得するために一般的に使用されます。 -
"Resource": "*": AWS IAM では、ほとんどのiam:List*アクションに対してリソースレベルのスコープ指定をサポートしていません。IAM はグローバルサービスであるため、Getアクションに対するリソースレベルのスコープ指定も実務上は非現実的な場合が多いです。"Resource": "*"を使用することは、アカウント全体の可視性を確保するうえで一般的なパターンであり、AWS 推奨のパートナーアクセスパターンとも整合しています。
-
-
アカウントで有効化する機能に必要な権限を付与する追加ポリシー。Security and data access policy: Amazon Web Services を参照してください。