メインコンテンツへスキップ

AWS connection

AWS のクラウドリソースへアクセスする接続を作成する際は、その接続のスコープを定義する必要があります。AWS 接続は、選択した AWS Organizations 管理アカウントに対して、特定の AWS アカウントまたは組織単位 (OU) を含むようにスコープを設定できます。

DoiT コンソールでは、AWS 接続の作成を支援するステップバイステップのウィザードを提供しています。ウィザードは DetailsScopePolicies and permissionsDeploy to AWSUser access の 5 つのステップで構成されています。

学習パスを選択

以下のコンテンツを読むか、ビジュアル付きで手順を確認できる ▶️ インタラクティブデモ をご覧ください。

Required permissions

AWS 接続を作成するには、お使いの DoiT アカウントに CloudFlow Owner または CloudFlow Editor 権限が付与されている必要があります。

Prerequisites

AWS 環境アカウントへの接続を作成するには、対応する管理アカウントが DoiT Cloud Intelligence にリンクおよびオンボーディングされている必要があります。

このリソースはすでに DoiT Cloud Intelligence に接続済みですか?

AWS アカウントがすでに DoiT Cloud Intelligence に接続されている場合は、既存の権限から接続を作成できます。専用の CloudFlow IAM ロール、カスタムの組織単位スコープ、または別個のポリシーが必要な場合は、Create connection を選択してください。

Step 1: Details

ウィザードを起動したら、最初に接続と、その際に作成される IAM ロールに名前を付けます。

  1. DoiT コンソール にサインインし、上部ナビゲーションのメガメニューから Automation and operations を選択し、CloudFlow を選択します。

  2. サイドバーから Connections を選択します。

  3. Connections ペインで AWS タブを選択します。

  4. Create connection を選択します。Create your AWS connection ウィザードが表示されます。

  5. まだ展開されていない場合は、矢印を選択して Details を展開します。

  6. Connection name に、この接続の目的またはスコープを反映した一意の名前を入力します。この接続は DoiT プラットフォーム内に存在し、フロー自体と対話するユーザーの権限を定義します。

  7. IAM role name に、フローの実行時にフローが引き受ける AWS IAM ロールの名前を入力します。ロール名には自動的に doit-cloudflow- がプレフィックスとして付与されます。デフォルトでは、IAM ロール名は接続名と同一です。別のロール名が必要な場合は変更できます。この AWS IAM ロールは DoiT プラットフォーム上ではいかなる権限も持ちません。

  8. Next を選択します。

Step 2: Scope

Scope では、最初に AWS Organizations の管理アカウントを選択し、その後 AWS organizations ツリーから AWS アカウントまたは組織単位 (OU) を選択して接続のスコープを構成します。OU を選択すると、その OU に現在含まれているアカウントだけでなく、今後追加されるアカウントも自動的に接続に含まれます。また、OU 内の個々のアカウントを除外することもできます。

  1. まだ展開されていない場合は、矢印を選択して Scope を展開します。

  2. AWS management account で、この接続に AWS organizations 構造へのアクセスを許可したい AWS Organizations 管理アカウントを選択します。組織構造が表示されます。

  3. 組織ツリー内で、この接続がアクセスできる AWS アカウントと OU を選択します。

  4. 選択したアカウントと OU が管理アカウントの組織ツリー上の位置をカバーしている場合 (例: 組織の root または管理アカウントをメンバーとして含む OU を選択した場合)、この接続のスコープに管理アカウントを明示的に含めるかどうかの確認が求められます。管理アカウントは常に組織の一部ですが、root 直下、または子 OU のいずれかに配置される場合があります。アカウントが属している OU を選択した場合、そのアカウント内のリソースにフローからアクセスする必要がある場合は Include management account を選択してください。メンバーアカウントのみに限定し、この接続のスコープから管理アカウントを除外したい場合は Don't include を選択してください。

  5. (任意) 選択した OU から個々のアカウントを除外します。

    Edit scope

  6. Next を選択します。

Step 3: Policies and permissions

フローの実行時にフローが引き受ける AWS IAM ロールに対する権限を定義します。

  1. まだ展開されていない場合は、矢印を選択して Policies and permissions を展開します。

  2. (任意) AWS managed policies で、この IAM ロールに追加したい AWS マネージドポリシーを選択します。

  3. Allowed action に、追加したい権限を入力します (例: S3:GetObject)。

  4. (任意) フローに追加の AWS allowed action が必要な場合は、Add another allowed action を選択し、追加したい各 AWS allowed action について同じ操作を繰り返します。

    Edit permissions

  5. Next を選択します。

Step 4: Deploy to AWS

接続が AWS アカウントへアクセスできるようにするには、AWS CloudFormation StackSet デプロイまたは Terraform 設定のいずれかを適用する必要があります。AWS CloudFormation StackSet を実行すると、管理アカウントから、Scope 内のすべてのアカウントと OU に対して接続が自動的にデプロイされます。Terraform は、Scope 内の各 AWS アカウントごとに個別に初期化および適用する必要があります。

  1. まだ展開されていない場合は、矢印を選択して Deploy to AWS を展開します。

    1. AWS CloudFormation StackSet タブを選択します。
    2. AWS Organizations 管理アカウントにサインインした状態で、AWS CloudShell またはターミナルを開きます。
    3. 提供された AWS CLI コマンドをコピーし、実行して StackSet を作成し、選択した OU とアカウントにデプロイします。
    4. スコープに管理アカウントが含まれている場合、ウィザードに管理アカウント用の追加の IAM ロールコマンドが表示されます。そのコマンドも管理アカウントで実行してください。
    5. (任意) ウィザードが StackSet デプロイの完了を確認する場合があります。この検証はフィードバックのみであり、チェックの実行有無や成功に関わらず Next を選択できます。

  2. Next を選択します。

Step 5: User access

この接続へアクセスでき、フロー内で利用する権限を持つ DoiT アカウントを指定します。

  1. まだ展開されていない場合は、矢印を選択して User access を展開します。

  2. Email で、この接続を利用できる DoiT アカウントのメールアドレスを選択します。

  3. Connection access level で、その DoiT アカウントが持つアクセスレベルを選択します。

  4. 別のアカウントを追加するには、Add another account を選択します。

  5. この接続を利用できる各 DoiT アカウントについて、これらの手順を繰り返します。

  6. Finish connection を選択します。接続の作成には数分かかる場合があります。接続が作成されたら、フロー内で利用 できます。

▶️ Interactive demo

インタラクティブデモを使って、実際に手を動かしながら手順を体験してください。

デモが正しく表示されない場合は、ブラウザウィンドウを拡大するか、デモを新しいタブで開いて みてください。

最終更新