メニュー
Amazon Elastic Compute Cloud
Linux インスタンス用ユーザーガイド

メンテナンスウィンドウへのアクセスの設定

以下の手順を使用して、EC2 メンテナンスウィンドウのセキュリティロールとアクセス権限を設定します。ロールとアクセス権限の設定後、「メンテナンスウィンドウのチュートリアル」の説明に従って、メンテナンスウィンドウをテストできます。

Systems Manager 用の IAM ロールを作成する

以下の手順を使用して、メンテナンスウィンドウの作成および処理時に Systems Manager がお客様に代わって機能できるようにするロールを作成します。

メンテナンスウィンドウの IAM ロールを作成するには

  1. https://console.aws.amazon.com/iam/ にある IAM コンソールを開きます。

  2. ナビゲーションペインで [Roles] を選択し、続いて [Create New Role] を選択します。

  3. [Step 1: Set Role Name] で、このロールをメンテナンスウィンドウロールとして識別する名前を入力します。

  4. [Step 2: Select Role Type] で、[Amazon EC2] を選択します。これは管理ポリシーであるため、システムは [Step 3: Establish Trust] をスキップします。

  5. [Step 4: Attach Policy] で、「AmazonSSMMaintenanceWindowRole」を選択します。

  6. [Step 5: Review] で、[Role Name] と [Role ARN] の値を記録します。ロール ARN は、次の手順で iam:PassRole ポリシーを IAM アカウントにアタッチするときに指定します。ロール名と ARN は、メンテナンスウィンドウを作成するときにも指定します。

  7. [Create Role] を選択します。システムでは、[Roles] ページが返されます。

  8. 作成したロールを見つけ、ダブルクリックします。

  9. [Trust Relationships] タブを選択し、[Edit Trust Relationship] を選択します。

  10. 以下のコードスニペットに示しているように、"ec2.amazonaws.com" の後にカンマ (,) を追加してから、既存のポリシーに "Service": "ssm.amazonaws.com" を追加します。

    Copy
    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ec2.amazonaws.com", "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  11. [Update Trust Policy] を選択します。

  12. [Role ARN] をコピー、または書き留めます。この ARN は、メンテナンスウィンドウを作成するときに指定します。

アカウントのアクセス権限を設定する

Systems Manager はお客様のロールを引き受けることで、メンテナンスウィンドウでお客様が指定したアクションを実行するためのアクセス権限を取得する必要があります。以下の手順を使用して、iam:PassRole ポリシーを既存の IAM ユーザーアカウントにアタッチするか、新しい IAM アカウントを作成してこのポリシーをアタッチします。新しいアカウントを作成する場合は、AmazonSSMFullAccess ポリシーをアタッチして、アカウントが Systems Manager API とやり取りできるようにする必要もあります。新規ユーザーアカウントを作成する必要がある場合、IAM ユーザーガイドAWS アカウント内での IAM ユーザーの作成を参照してください。

iam:PassRole ポリシーをユーザーアカウントにアタッチするには

  1. IAM コンソールのナビゲーションペインで、[Users] を選択し、ユーザーアカウントをダブルクリックします。

  2. [Managed Policies] セクションで、AmazonSSMFullAccess ポリシーが表示されるか、または Systems Manager API に対するアクセス権限を与える互換性のポリシーがあるかどうかを確認します。

  3. [Inline Policies] セクションで、[Create User Policy] を選択します。このボタンが表示されない場合は、[Inline Policies] の横にある下矢印を選択してから、[click here] を選択します。

  4. [Set Permissions] ページで、[Custom Generator] を選択し、次に [Select] をクリックします。

  5. [Effect] が [Allow] に設定されていることを確認します。

  6. [AWS Service] で、[AWS Identity and Access Management] を選択します。

  7. [Actions] で、[PassRole] を選択します。

  8. [Amazon Resource Name (ARN)] フィールドに、前の手順で作成したロール ARN を貼り付けます。

  9. [Add Statement]、[Next Step] の順に選択します。

  10. [Review Policy] ページで、[Apply Policy] を選択します。