メインコンテンツへスキップ

DoiT コンソール経由で AWS アカウントをリンク

新しい AWS アカウントをリンクするには、次の手順を実行してください。

  1. DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから Data ingestion and integrations > AWS を選択します。

  2. Connect Amazon Web Services ページで Link new account を選択します。

    Link Amazon Web Services account

  3. 必要なポリシーを含む クロスアカウント AWS IAM ロール を作成する方法を選択します。

    Quota

    AWS Identity and Access Management(IAM)は、ロールごとにマネージドポリシーのデフォルトクォータを 10 個に設定しています。アカウントで複数の機能を有効にするためにリミットを引き上げる必要がある場合は、AWS にクォータ引き上げリクエストを送信する必要があります。詳細は、IAM object quotas を参照してください。

ロールを自動的に作成する

DoiT では、クロスアカウント IAM ロールを自動的に作成する方法を 2 つサポートしています。

StackSet を使用すると、単一のセットアップで、OU 内のすべてのメンバーアカウントに対する必要な権限のデプロイを自動化できます。また、アカウントのライフサイクル管理も自動化されます。

  • 将来 AWS Organization に新しいメンバーアカウントを追加した場合、StackSet は新しいアカウントを検出して必要な権限をデプロイし、DoiT は新しい資産を検出して DoiT コンソールに自動的に表示します。

  • リンクされた OU からアカウントを移動した場合、そのアカウントからスタックが自動的に削除され、その特定のアカウントでは機能が利用できなくなります。

ヒント

すでに CloudFormation stack を使用して接続されているアカウントについて、CloudFormation StackSet 方式に切り替える場合は、まず 各アカウントのリンクを解除 するか、AWS コンソールで CloudFormation stack を削除する必要があります。

ロールを自動的に作成するには、次の手順を実行してください。

  1. Create a role automatically を選択します。

    An expanded feature section

  2. AWS アカウントで有効にする機能を選択します。各機能を展開して、必要な AWS ポリシーを確認できます。

    • Read-only permissions: Read-only アクセスのみを必要とする機能はデフォルトで含まれており、手動で選択する必要はありません。

    • Write permissions: Write アクセスを必要とする機能は、対応するチェックボックスを選択して手動で追加する必要があります。

    • Real-time anomalies 機能を選択した場合、CloudTrail のイベントファイルを含む S3 bucket を指定するよう求められます。詳細は、Enable real-time anomaly on AWS accounts を参照してください。

  3. Link new account を選択します。

  4. クロスアカウント IAM ロールの作成方法を選択します。

    The Deployment target ID field

CloudFormation StackSets

この方法では、Deployment target ID を指定する必要があります。

  1. AWS Organizations コンソール を開き、選択した機能を有効にしたいメンバーアカウントを含む Organizational Unit(OU)を探します。

  2. OU ID をコピーします(例: ou-abcd-12345678)。

  3. DoiT コンソールに戻り、OU ID(または root ID)を Deployment target ID フィールドに貼り付けます。

  4. ダイアログ内のメッセージを読み、Link new account を選択します。

  5. AWS CloudFormation の Quick create stack ページにリダイレクトされ、サービス管理の権限を使用した CloudFormation StackSet の作成 を行います。

  6. パラメータを確認します。スタック名と必須パラメータ(OU ID と External ID を含む)は自動的に入力されています。

  7. 必要に応じて、次の閾値を調整します。

    • FailureTolerancePercentage: StackSet のオペレーションが停止する前に失敗を許容できるアカウントのパーセンテージです。DoiT のテンプレートでは、この値は 20 に設定されています。

    • Max Concurrent Percentage: 同時にデプロイする対象アカウントの最大パーセンテージです。DoiT のテンプレートでは、この値は 100 に設定されています。

  8. ページの一番下までスクロールし、AWS CloudFormation がカスタム名の IAM リソースを作成する可能性があること、および CAPABILITY_AUTO_EXPAND ケイパビリティが必要であることを確認するチェックボックスを選択します。

  9. Create stack を選択します。

この処理には数分かかる場合があります。成功すると、リンクされた AWS アカウントのステータスが 正常 と表示されます。

CloudFormation stack

CloudFormation stack テンプレートを作成するために、AWS コンソールが開きます。

  1. AWS CloudFormation コンソールまたは AWS CloudShell を使用して、IAM ロール用の CloudFormation stack を作成します。

    1. Link New account を選択して、AWS CloudFormation コンソール で DoiT スタックテンプレートを起動します。

    2. US East (N. Virginia) us-east-1 リージョンにいることを確認します。

      Link Amazon Web Services account

    3. ページ下部のチェックボックスを選択し、AWS CloudFormation がカスタム名の IAM リソースを作成する可能性があることを確認します。

      Link Amazon Web Services account

    4. スタックを作成します(クロスアカウント AWS IAM ロール も参照してください)。

スタック作成後、アカウントが DoiT プラットフォームにリンクされるまで最長 30 秒かかる場合があります。成功すると、リンクされた AWS アカウントのステータスが 正常 と表示されます。

ロールを手動で作成

このオプションは、すべての種類の AWS アカウントに適用されます。

  1. Create a role manually を選択します。

  2. DoiT コンソールに表示される Our AWS AccountYour External ID の値を控えます。

    The manual role creation form

  3. (任意)アカウントでリアルタイムのアノマリー検出を有効にする場合は、AWS CloudTrail S3 バケット名を入力し、バケットが存在するリージョンを指定します(バケットはサポートされているリージョンのいずれかに存在している必要があります)。

  4. AWS Management Console で AWS IAM ロールを作成します。(IAM ロールの作成 (コンソール)も参照してください。)

    1. AWS IAM コンソールに移動し、左側のナビゲーションペインで Roles を選択し、Create role を選択します。

    2. trusted entity として AWS account を選択します。

    3. Another AWS account を選択し、DoiT AWS アカウント ID(DoiT コンソールで提供される Our AWS Account)を入力します。

    4. Require external ID のチェックボックスを選択し、外部 ID を入力します。

    5. Next を選択して、権限を追加します。

      有効化する機能に応じてポリシーを選択します。

      • Core の場合は、特定の AWS マネージドポリシーをロールに追加します。

      • その他の機能の場合は、Create policy を選択し、JSON タブに切り替えて、該当する機能の権限を貼り付けてカスタムポリシーを作成します。

      参照
    6. ポリシーの作成が完了したら、元のタブに戻ります。検索リストに新しいポリシーを表示するには、ページを更新する必要がある場合があります。

    7. Core 機能に必要な 3 つの組み込みポリシーに加えて、有効にしたい機能用の新しいポリシーをすべて選択します。

    8. Next を選択し、ロール名を付け、選択したポリシーを確認してから Create role を選択します。

  5. ロールの作成後、ロール名を選択してサマリーページを開き、ロールの ARN の値をコピーして、Role ARN を DoiT コンソールに貼り付けます。

  6. Add を選択して AWS アカウントをリンクします。

成功すると、DoiT コンソール上で AWS アカウントのステータスが Healthy と表示されます。

機能別の権限

以下は、コア機能およびリンク済みアカウントで有効化できる一部の機能に必要な権限です。利用可能な機能の完全な一覧については、セキュリティとデータアクセスに関するポリシー: Amazon Web Servicesを参照してください。

Core、Quota Monitoring など:

Core の権限は 3 つの AWS マネージドポリシーで構成されます。IAM ロールを自動作成するオプションを選択した場合、Cloud Intelligence プラン内の他の DoiT 機能に必要な読み取り専用権限も Core の権限に含まれます。

AWS managed policy説明
SecurityAuditセキュリティ設定メタデータを読み取るためのアクセス権限を付与します。
AWSSavingsPlansReadOnlyAccessSavings Plans サービスへの読み取り専用アクセスを提供します。
Billing請求およびコスト管理に関する権限を付与します。

DoiT インサイト:

{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"trustedadvisor:GetRecommendation",
"trustedadvisor:ListRecommendations",
"trustedadvisor:ListRecommendationResources"
],
"Resource": "*"
}
]
}

リンク済みアカウントの編集

注意

このセクションは、CloudFormation StackSets経由でリンクされていない AWS アカウントにのみ適用されます。OU のメンバーアカウントのリンクを解除するには、そのアカウントを OU から削除する必要があります。メンバーアカウントの機能アクセスを変更するには、目的の機能セットを持つ別の OU にアカウントを移動してください。

アカウントのリンクを解除するには、次の手順を実行します。

  1. Link Amazon Web Services ページに移動します。

  2. 対象のアカウントを探します。

  3. アカウント行の一番右端にあるケバブメニュー () を選択します。

  4. Unlink account を選択します。

    The location of the Unlink option

機能アクセスの変更

機能の追加

新しい機能を追加するには、リンク済みアカウントの IAM ロールを追加の権限で更新する必要があります。

  1. アカウント行の一番右端にあるケバブメニュー () を選択します。

  2. Edit account を選択します。

  3. 追加したい機能のチェックボックスを選択します。

  4. 次のいずれかのオプションを使用して、新しい権限で IAM ロールを更新します。

    • Update account を選択して、AWS コンソールで CloudFormation スタックを作成します。

    • Prefer CLI を選択して、AWS CloudShell 経由で CloudFormation スタックを作成するためのコマンドを取得します。

    詳細については、Create a role automaticallyを参照してください。

機能の削除

機能を削除するには、次の手順を実行します。

  1. AWS コンソールで IAM ページを開きます。

  2. リンク済みアカウントのロールから、その機能に関連付けられているポリシーをデタッチします。