メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

Automation へのアクセスの設定

以下の手順を使用して、EC2 Automation のセキュリティロールとアクセス許可を設定します。ロールとアクセス許可の設定後、「Systems Manager Automation のチュートリアル」の説明に従って、Automation をテストできます。

Automation へのアクセスを設定するには、次のタスクを実行する必要があります。ロールと権限を正しく設定しないと、Automation の実行中にエラーが返されます。

タスク 1: Systems Manager マネージドインスタンスのインスタンスプロファイルロールを作成する

タスク 2: Systems Manager の信頼関係を追加する

タスク 3: Automation 用に IAM ロールを作成する

タスク 4: Automation 用の信頼関係を追加する

タスク 5: iam:PassRole ポリシーを Automation ロールにアタッチする

タスク 6: Automation へのユーザーのアクセスを設定する

タスク 1: Systems Manager マネージドインスタンスのインスタンスプロファイルロールを作成する

マネージドインスタンスには、Systems Manager にインスタンスでアクションを実行するためのアクセス許可を付与する IAM ロールが必要です。このロールを AWS-UpdateLinuxAmi ドキュメントなどの Automation ドキュメントで指定できます。こうすることで、Automation がマネージドインスタンスでアクションを実行したり新しいインスタンスを起動したりできます。

以下の手順を使用して、[AmazonEC2RoleforSSM] 管理ポリシーを使用する Systems Manager のインスタンスプロファイルロールを作成します。このポリシーを使用すると、インスタンスが Systems Manager API とやり取りして管理タスクの制限されたセットを実行できるようになります。

マネージドインスタンスのインスタンスプロファイルロールを作成するには

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。

  3. [Step 1: Set Role Name] で、このロールをマネージドインスタンスの Systems Manager ロールとして識別する名前を入力します。

  4. [Step 2: Select Role Type] で、[Amazon EC2] を選択します。これは管理ポリシーであるため、システムは [Step 3: Establish Trust] をスキップします。

  5. [Step 4: Attach Policy] で、[AmazonEC2RoleforSSM] 管理ポリシーを選択します。

  6. [Step 5: Review] で、ロール名を記録します。このロール名は、Automation を使用して管理するインスタンスを新しく作成する際および Automation ドキュメント内で指定します。

  7. [Create Role] を選択します。システムでは、[Roles] ページが返されます。

インスタンスプロファイルのロールは、新規作成時のインスタンスまたは既存のインスタンスにアタッチできます。詳細については、「IAM ロールの使用」を参照してください。

タスク 2: Systems Manager の信頼関係を追加する

次の手順に従って、Systems Manager を信頼するロールポリシーを設定します。

Systems Manager の信頼関係を追加するには

  1. 作成したロールを見つけ、ダブルクリックします。

  2. [Trust Relationships] タブを選択し、[Edit Trust Relationship] を選択します。

  3. 以下のコードスニペットに示しているように、"ec2.amazonaws.com" の後にカンマ (,) を追加してから、既存のポリシーに "Service": "ssm.amazonaws.com" を追加します。

    Copy
    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com", "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  4. [Update Trust Policy] を選択します。

タスク 3: Automation 用に IAM ロールを作成する

Systems Manager Automation には、お客様に代わってこのサービス用に指定したアクションを実行するためのアクセス許可が必要です。Automation はお客様の IAM ロールを引き受けることで、これらのアクセス許可を取得します。そのためには、以下の手順を使用します。

  • Automation が Automation ドキュメントの処理中にお客様の代わりにタスクを実行できるようにロールを作成します。

  • Automation ロールと Systems Manager 間の信頼関係を確立します。

  • そのロールに、Automation ドキュメント内の IAM ロールを参照するためのアクセス許可を割り当てます。

IAM ロールを作成し、Automation がそのロールを引き受けることを許可します。

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。

  3. [Step 1: Set Role Name] に、このロールを Automation ロールとして識別する名前を入力します。

  4. [Step 2: Select Role Type] で、[Amazon EC2] を選択します。これは管理ポリシーであるため、システムは [Step 3: Establish Trust] をスキップします。

  5. [Step 4: Attach Policy] で、[AmazonSSMAutomationRole] 管理ポリシーを選択します。このポリシーによって同じアクセス許可が付与されます。

  6. [Step 5: Review] で、[Role Name] と [Role ARN] の値を記録します。ロール ARN は、次の手順で iam:PassRole ポリシーを IAM アカウントにアタッチするときに指定します。ロール名と ARN は、EC2 Automation ドキュメントでも指定します。

  7. [Create Role] を選択します。システムでは、[Roles] ページが返されます。

注記

AmazonSSMAutomationRole ポリシーは、アカウント内の一部の AWS Lambda 関数に Automation ロールのアクセス許可を割り当てます。これらの関数は「Automation」で始まります。Lambda 関数で Automation を使用する予定の場合、Lambda ARN には以下の形式を使用する必要があります。

Copy
"arn:aws:lambda:*:*:function:Automation*"

この形式を使用していない ARN を持つ既存の Lambda 関数がある場合、Automation ロールに追加で AWSLambdaRole ポリシーなどの Lambda ポリシーをアタッチする必要があります。追加のポリシーまたはロールは、AWS アカウント内の Lambda 関数へのより広範なアクセスを許可する必要があります。

タスク 4: Automation 用の信頼関係を追加する

次の手順に従って、Automation を信頼するロールポリシーを設定します。

Automation 用の信頼関係を追加するには

  1. IAM コンソールで、作成したロールを見つけ、ダブルクリックします。

  2. [Trust Relationships] タブを選択し、[Edit Trust Relationship] を選択します。

  3. 以下のコードスニペットに示しているように、"ec2.amazonaws.com" の後にカンマ (,) を追加し、既存のポリシーに "Service": "ssm.amazonaws.com" を追加します。

    Copy
    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com", "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  4. [Update Trust Policy] を選択します。

  5. [Role ARN] をコピー、または書き留めます。この ARN は、Automation ドキュメントで指定します。

タスク 5: iam:PassRole ポリシーを Automation ロールにアタッチする

以下の手順を使用して、iam:PassRole ポリシーを Automation ロールにアタッチします。これにより、Automation サービスは実行中に前に作成したロールを渡すことができます。

iam:PassRole ポリシーを Automation ロールにアタッチするには

  1. IAM コンソールで、タスク 1 および 3 で作成したロールの ARN をコピーします。

  2. タスク 3 で作成した Automation ロールを見つけてダブルクリックします。

  3. [Permissions] タブを選択します。

  4. [Inline Policies] セクションで、[Create User Policy] を選択します。このボタンが表示されない場合は、[Inline Policies] の横にある下矢印を選択してから、[click here] を選択します。

  5. [Set Permissions] ページで、[Custom Generator] を選択し、次に [Select] をクリックします。

  6. [Effect] が [Allow] に設定されていることを確認します。

  7. [AWS Services] で、[AWS Identity and Access Management] を選択します。

  8. [Actions] で、[PassRole] を選択します。

  9. [Amazon Resource Name (ARN)] フィールドに、タスク 1 で作成した Automation ロールの ARN を貼り付けます。

  10. [Add Statement] を選択します。

  11. [AWS Services] で、[AWS Identity and Access Management] を選択します。

  12. [Actions] で、[PassRole] を選択します。

  13. [Amazon Resource Name (ARN)] フィールドに、タスク 3 で作成した Automation ロールの ARN を貼り付けます。

  14. [Add Statement]、[Next Step] の順に選択します。

  15. [Review Policy] ページで、[Apply Policy] を選択します。

タスク 6: Automation へのユーザーのアクセスを設定する

ユーザーアカウントが Automation を使用するように設定するには、以下の手順を使用します。選択したユーザーアカウントには、Automation を設定して実行する権限が付与されます。新規ユーザーアカウントを作成する必要がある場合、IAM ユーザーガイドAWS アカウント内での IAM ユーザーの作成を参照してください。

以下の手順を使用して、タスク 5 で作成した iam:PassRole ポリシーをユーザーアカウントに追加します。これにより、ユーザーアカウントが Automation にロールを渡すことができるようになります。この手順ではまた、アカウントが AmazonSSMFullAccess ポリシーを使用するように設定して、アカウントが Systems Manager API とやり取りできるようにします。

iam:PassRole ポリシーをユーザーアカウントにアタッチするには

  1. IAM ナビゲーションペインで、[Users] を選択し、設定するユーザーアカウントをダブルクリックします。

  2. [Managed Policies] セクションで、AmazonSSMFullAccess ポリシーがあるかどうか、またはアカウントに SSM API に対するアクセス許可を与える同等のポリシーがあるかどうかを確認します。

  3. [Inline Policies] セクションで、[Create User Policy] を選択します。このボタンが表示されない場合は、[Inline Policies] の横にある下矢印を選択してから、[click here] を選択します。

  4. [Set Permissions] ページで、[Custom Generator] を選択し、次に [Select] をクリックします。

  5. [Effect] が [Allow] に設定されていることを確認します。

  6. [AWS Services] で、[AWS Identity and Access Management] を選択します。

  7. [Actions] で、[PassRole] を選択します。

  8. [Amazon Resource Name (ARN)] フィールドに、タスク 3 で作成した Automation ロールの ARN を貼り付けます。

  9. [Add Statement]、[Next Step] の順に選択します。

  10. [Review Policy] ページで、[Apply Policy] を選択します。