メインコンテンツへスキップ

AWS アカウントをリンク

AWS アカウントを DoiT プラットフォームに接続した後、アカウント上で PerfectScale for Spotreal-time anomaly detectionCloud DiagramsComposerKubernetes Intelligence などの高度な機能を有効にするには、DoiT に AWS 環境へのアクセス権限を付与する クロスアカウント AWS IAM ロール を作成する必要があります。

AWS アカウントは、DoiT コンソール経由 または Terraform を使用 してリンクできます。

必要な権限

  • ご利用の DoiT アカウントに Manage Settings 権限が付与されている必要があります。

  • リンクしたいアカウントについて、IAM リソース (ロールおよびポリシー) を作成できる権限を持つ AWS 認証情報が必要です。

  • 有効にする機能に基づき、追加の権限が必要になる場合があります。たとえば real-time anomaly detection を有効にするには、S3 bucket 通知を設定する権限も必要です。

クロスアカウントロール

DoiT の CloudFormation スタックテンプレート は、DoiT Cloud Intelligence に必要な権限を付与するクロスアカウント IAM ロールをデプロイします (同等の IAM ロールは Terraform モジュール を介して作成されます)。この IAM ロールの定義は、次のセクションで構成されています。

  • 3 つの AWS マネージドポリシー: コア機能の権限 を参照してください。

  • ご利用の Cloud Intelligence プラン内の他の DoiT 機能に必要な読み取り専用権限。

  • DoiT がクロスアカウントロールを引き受け、AWS リソースに安全にアクセスできるようにする信頼ポリシー。

  • インラインポリシー:

    {
    "Version": "2012-10-17",
    "Statement": [
    {
    "Action": [
    "iam:List*",
    "iam:Get*"
    ],
    "Effect": "Allow",
    "Resource": "*"
    }
    ]
    }
    • iam:List*: この権限により、List で始まる IAM アクションへのアクセスが許可されます。これらは変更を伴わないアクションであり、アカウント内のユーザー、ロール、ポリシー名など IAM リソースのインベントリを表示する用途で一般的に使用されます。

    • iam:Get*: この権限により、Get で始まる IAM アクションへのアクセスが許可されます。これらのアクションは読み取り専用であり、可視性、コンプライアンス、監査目的で構成メタデータを取得するために一般的に使用されます。

    • "Resource": "*": AWS IAM では、ほとんどの iam:List* アクションに対してリソースレベルのスコープ指定をサポートしていません。IAM はグローバルサービスであるため、Get アクションに対するリソースレベルのスコープ指定も実務上は非現実的な場合が多いです。"Resource": "*" を使用することは、アカウント全体の可視性を確保するうえで一般的なパターンであり、AWS 推奨のパートナーアクセスパターンとも整合しています。

  • アカウントで有効化する機能に必要な権限を付与する追加ポリシー。Security and data access policy: Amazon Web Services を参照してください。