セルフマネージド型のアクセス許可を付与する - AWS CloudFormation

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

セルフマネージド型のアクセス許可を付与する

自己管理型の権限を使用して、StackSets複数のアカウントやにデプロイするために必要な AWS Identity and Access Management (IAM) ロールを作成します。AWS リージョンこれらのロールは、スタックセットを管理するアカウントとスタックインスタンスをデプロイするアカウントとの間に信頼できる関係を確立するために必要です。StackSetsこの権限モデルを使用すると、IAM AWS アカウント ロールを作成する権限を持っているすべてのユーザーにデプロイできます。

セルフマネージド型のアクセス許可

サービスマネージドスタックセットの作成に必要な権限を設定するには、を参照してください。で信頼できるアクセスを有効にする AWS Organizations

セルフマネージド型のアクセス許可を持つスタックセットを作成する前に、各アカウントに IAM ロールを作成して、管理者アカウントとターゲットアカウントの間に信頼関係を確立する必要があります。

  1. どの AWS アカウントが管理者アカウントであるかを判断します。

    スタックセットはこの管理者アカウントで作成されます。ターゲットアカウントは、スタックセットに属する個別のスタックを作成するアカウントです。

  2. スタックセットのアクセス許可を構成する方法を決定します。

    最も単純な (そして最も許容性の高い) アクセス許可構成は、管理者アカウントのすべてのユーザーとグループに、そのアカウントで管理されているすべてのスタックセットを作成および更新するアクセス権限を付与することです。きめ細かな制御が必要な場合は、以下を指定するアクセス許可を設定できます。

    • ターゲットアカウントを持つスタックセットオペレーションを実行できるユーザーとグループ。

    • ユーザーとグループがスタックセットに含めることができるリソース。

    • 特定のユーザーおよびグループが実行できるスタックセットオペレーション。

  3. 管理者とターゲットアカウントに必要な IAM サービスロールを作成して、必要なアクセス許可を定義します。

    重要

    管理者アカウントのロールには名前を付ける必要がありますAWSCloudFormationStackSetAdministrationRole。各ターゲットアカウントのロールには名前を付ける必要がありますAWSCloudFormationStackSetExecutionRole

スタックセットオペレーションの基本アクセス許可の設定

最も単純な (そして最も許容性の高い) アクセス許可構成は、管理者アカウントのすべてのユーザーとグループに、そのアカウントで管理されているすべてのスタックセットを作成および更新するアクセス権限を付与することです。これを行うには、管理者とすべてのターゲットアカウントの IAM サービスロールを作成します。管理者アカウントへのアクセス許可を持つユーザーは、ターゲットアカウントの任意のスタックを作成、更新、または削除するアクセス許可を持ちます。

管理者アカウントとターゲットアカウントは、アカウント間の信頼関係を作成するサービスロールを設定するとともに、テンプレートに記述されているリソースを作成および管理するためのアクセス許可をターゲットアカウントに付与する必要があります。

このようにアクセス許可を作成すると、スタックセットを作成または更新してもユーザーが管理者ロールを渡すことはありません。


                    管理者アカウントとターゲットアカウントの間に信頼関係を設定します。管理者アカウントのユーザーは誰でもスタックセットを作成できます。
すべてのターゲットアカウントでスタックセットオペレーションを実行するために、管理者アカウントのすべてのユーザーのアクセス許可を設定する
  1. 管理者アカウントで、AWSCloudFormationStackSetAdministrationRoleという名前の IAM ロールを作成します。ロールにはこの正確な名前が必要です。そのためには、https://s3.amazonaws.com/ cloudformation-stackset-sample-templates AWSCloudFormationStackSetAdministrationRole-us-east-1/ .yml AWS CloudFormation からオンラインで入手できる次のテンプレートからスタックを作成します。このテンプレートで作成されたロールは、管理者アカウントで次のポリシーを有効にします。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" } ] }

    次の信頼関係は、前のテンプレートによって作成されています。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    デフォルトで無効になっているリージョンにあるターゲットアカウントにスタックインスタンスをデプロイするには、そのリージョンのリージョンサービスプリンシパルも含める必要があることに注意してください。デフォルトで無効になっているリージョンごとに、独自のリージョンサービスプリンシパルがあります。

    エンドポイント一覧を含む、リージョンのエンドポイントの詳細については、「AWS 全般のリファレンスガイド」の「Regional endpoints」(リージョンエンドポイント) を参照してください。

    次の例には、デフォルトで無効になっているアジアパシフィック (香港) リージョンのリージョンサービスプリンシパル (cloudformation.ap-east-1.amazonaws.com) が含まれています。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "cloudformation.amazonaws.com", "cloudformation.ap-east-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

    詳細については、「スタックセットオペレーションの前提条件」を参照してください。

  2. 各ターゲットアカウントに、AWSCloudFormationStackSetExecutionRole管理者アカウントを信頼する名前のサービスロールを作成します。ロールにはこの正確な名前が必要です。そのためには、https://s3.amazonaws.com/ cloudformation-stackset-sample-templates AWSCloudFormationStackSetExecutionRole-us-east-1/ .yml AWS CloudFormation からオンラインで入手できる次のテンプレートからスタックを作成します。このテンプレートを使用すると、ターゲットアカウントと信頼関係を持っている必要がある管理者アカウントの名前を指定するよう求められます。

    重要

    このテンプレートは管理者アクセス権を付与することに注意してください。テンプレートを使用してターゲットアカウント実行ロールを作成したら、ポリシーステートメントの権限の範囲を、使用して作成しているリソースのタイプに限定する必要がありますStackSets。

    ターゲットアカウントサービスロールは、AWS CloudFormation テンプレートで指定されたすべてのオペレーションを実行するアクセス許可を必要とします。たとえば、テンプレートが S3 バケットを作成している場合、S3 の新しいオブジェクトを作成するためのアクセス許可が必要です。ターゲットアカウントは常に完全な AWS CloudFormation アクセス許可を必要とします。これには、スタックを作成、更新、削除、および記述するためのアクセス許可が含まれます。このテンプレートで作成されたロールは、ターゲットアカウントで次のポリシーを有効にします。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "*", "Resource": "*" } ] }

    動作させるには、AWSCloudFormationStackSetExecutionRole各ターゲットアカウントのポリシーステートメントに S3 サービスアクションとリソースを追加する必要があります。StackSetsStackSetsこれらの権限を使用して、ターゲットアカウントと管理者アカウントのスタックインスタンスの状態を通知します。

    以外のサービスのリソースを使用するターゲットアカウントにスタックを作成するにはCloudFormation、AWSCloudFormationStackSetExecutionRoleそれらのサービスアクションとリソースを各ターゲットアカウントのポリシーステートメントに追加する必要があります。次の例は、に必要な権限を含むポリシーステートメントを示していますStackSets。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "s3:*" ], "Resource": "*" } ] }

    次の信頼関係は、テンプレートによって作成されています。管理者アカウントの ID は、admin_account_id として表示されます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::admin_account_id:root" }, "Action": "sts:AssumeRole" } ] }

    既存のターゲットアカウントの実行ロールの信頼関係を設定して、管理者アカウントで特定のロールを信頼できます。管理者アカウントでロールを削除し、代わりとなる新しいロールを作成する場合、新しい管理者アカウントロールでターゲットアカウントの信頼関係を設定する必要があります。これは、前の例の admin_account_id によって表されます。

スタックセットオペレーションのアドバンストアクセス許可オプションの設定

ユーザーとグループが 1 つの管理者アカウントを使用して作成しているスタックセットに対してきめ細かな制御が必要な場合は、IAM ロールを使用して次の項目を指定できます。

  • ターゲットアカウントを持つスタックセットオペレーションを実行できるユーザーとグループ。

  • ユーザーとグループがスタックセットに含めることができるリソース。

  • 特定のユーザーおよびグループが実行できるスタックセットオペレーション。

ターゲットアカウントへのアクセスを制御するアクセス許可を設定する

カスタマイズされた管理者ロールを使用して、どのユーザーおよびグループがどのターゲットアカウントでスタックセットオペレーションを実行できるかを制御します。スタックセットオペレーションを実行する管理者アカウントのユーザーとターゲットアカウントを制御します。そのためには、AWSCloudFormationStackSetAdministrationRole管理者アカウント自体にサービスロールを作成するのではなく、各ターゲットアカウントと特定のカスタマイズされた管理ロールとの間に信頼関係を作成します。これで、特定のターゲットアカウントでスタックセットオペレーションを実行する際、特定のユーザーとグループをアクティブ化して、カスタマイズされた管理者ロールを使用します。

たとえば、ロール A とロール B を管理者アカウント内に作成できます。ターゲットアカウント 1 ~ 8 にアクセスする許可を ロール A に付与することができます。ターゲットアカウント 9 ~ 16 にアクセスする許可を ロール B に付与することができます。


                         カスタマイズされた管理者ロールとターゲットアカウントの間に信頼関係を設定します。スタックセットを作成する際、ユーザーはそのロールを渡します。

必要なアクセス許可を設定するには、カスタマイズされた管理者ロールの定義、ターゲットアカウントのサービスロールの作成、ユーザーへのアクセス許可の付与を行い、スタックセットオペレーションを実行するときに、カスタマイズされた管理者ロールを渡す必要があります。

必要な許可を設定したときの一般的な動作は次のとおりです。スタックセットを作成する際、ユーザーは、カスタマイズされた管理者を指定する必要があります。ユーザーには、AWS CloudFormation にロールを渡すためのアクセス権限が必要です。さらに、カスタマイズされた管理者ロールには、スタックセットに指定されたターゲットアカウントとの信頼関係が必要です。AWS CloudFormation ではスタックセットを作成し、カスタマイズされた管理者ロールをこのスタックセットに関連付けます。スタックセットを更新する場合、ユーザーはカスタマイズされた管理者ロールを明示的に指定する必要があります (このスタックセットで以前に使用したのと同じカスタマイズされた管理者ロールである場合でも)。AWS CloudFormation は、上記の要件に従い、このロールを使用してスタックを更新します。

ユーザーおよびグループが特定のターゲットアカウントでスタックセットオペレーションを実行できるアクセス許可を設定する
  1. スタックセットごとに、AWSCloudFormationStackSetExecutionRoleターゲットアカウントのサービスロールを引き継ぐ権限を持つカスタマイズされた管理者ロールを作成します。

    次のアクセス許可ポリシーに従って、カスタム名を指定してIAM サービスロールを作成します。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::target_account_id:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" } ] }

    または、すべてのターゲットアカウントを指定する場合は、以下のアクセス許可ポリシーを使用します。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" } ] }

    信頼関係を定義するロールを作成する際、次の信頼ポリシーを指定する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

    デフォルトで無効になっているリージョンにあるターゲットアカウントにスタックインスタンスをデプロイするには、そのリージョンのリージョンサービスプリンシパルも含める必要があることに注意してください。デフォルトで使用できないリージョンごとに、独自のリージョンサービスプリンシパルがあります。

    エンドポイント一覧を含む、リージョンのエンドポイントの詳細については、「AWS 全般のリファレンスガイド」の「Regional endpoints」(リージョンエンドポイント) を参照してください。

    次の例には、デフォルトで無効になっているアジアパシフィック (香港) リージョンのリージョンサービスプリンシパル (cloudformation.ap-east-1.amazonaws.com) が含まれています。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": [ "cloudformation.amazonaws.com", "cloudformation.ap-east-1.amazonaws.com" ] }, "Action": "sts:AssumeRole" } ] }

    詳細については、「スタックセットオペレーションの前提条件」を参照してください。

  2. ターゲットアカウントごとに、AWSCloudFormationStackSetExecutionRoleこのアカウントで使用したいカスタマイズされた管理ロールを信頼する名前のサービスロールを作成します。

    重要

    ポリシーステートメントの権限の範囲を、使用して作成するリソースの種類に限定する必要がありますStackSets。

    ターゲットアカウントサービスロールは、AWS CloudFormation テンプレートで指定されたすべてのオペレーションを実行するアクセス許可を必要とします。たとえば、テンプレートが S3 バケットを作成している場合、S3 の新しいオブジェクトを作成するためのアクセス許可が必要です。ターゲットアカウントは常に完全な AWS CloudFormation アクセス許可を必要とします。これには、スタックを作成、更新、削除、および記述するためのアクセス許可が含まれます。

    以下の例に、StackSets が機能するための最低限のアクセス許可を持つポリシーステートメントを示します。以外のサービスのリソースを使用するターゲットアカウントにスタックを作成するにはAWS CloudFormation、AWSCloudFormationStackSetExecutionRoleそれらのサービスアクションとリソースを各ターゲットアカウントの権限ポリシーステートメントに追加する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "s3:*" ], "Resource": "*" } ] }

    信頼関係を定義するロールを作成する際、次の信頼ポリシーを指定する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::admin_account_id:role/customized_admin_role" }, "Action": "sts:AssumeRole" } ] }
  3. スタックセットオペレーション実行時に、カスタマイズされた管理者ロールを渡すことをユーザーに許可します。

    特定のスタックセットを作成または更新する際、カスタマイズされた適切な管理者ロールを渡すことができるように、IAM アクセス許可ポリシーをユーザーまたはグループにアタッチします。詳細については、Granting a user permissions to pass a role to an AWS service を参照してください。以下の例では、customized_admin_role は、ユーザーが渡す必要のある管理者ロールを意味します。

    { "Version": "2012-10-17", "Statement": [{ "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::*:role/customized_admin_role" }] }

スタックリソースインクルードを制御するアクセス許可を設定する

カスタマイズされた実行ロールを使用して、ユーザーおよびグループがスタックセットに含めることができるスタックリソースを制御します。たとえば、作成したスタックセットに Amazon S3 関連のリソースのみを含めることができるグループを設定し、別のチームには DynamoDB リソースのみを含めることができます。これを行うには、各グループのカスタマイズされた管理者ロールと各リソースセットのカスタマイズされた実行ロールとの間に信頼関係を作成します。カスタマイズされた実行ロールは、どのスタックリソースをスタックセットに含めることができるかを定義します。カスタマイズされた管理者ロールは管理者アカウントにあり、カスタマイズされた実行ロールは定義されたリソースを使用してスタックセットを作成する各ターゲットアカウントにあります。これで、スタックセットオペレーションを実行する際、特定のユーザーとグループが、カスタマイズされた管理者ロールを使用できるようにアクティブ化します。

たとえば、カスタマイズされた管理者ロール A、B、C を管理者アカウントで作成できます。ロール A を使用するアクセス許可を持つユーザーおよびグループは、カスタマイズされた実行ロール X に明確にリストされているスタックリソースを含むスタックセットを作成できますが、ロール Y または Z のリソースや実行ロールに含まれていないリソースは含まれません。


                        カスタマイズされた管理者ロールと、ターゲットアカウント内のカスタマイズされた実行ロールの間に信頼関係を設定します。スタックセットを作成する際、ユーザーはそれらのロールを渡します。

スタックセットを更新する場合、ユーザーはカスタマイズされた管理者ロールを明示的に指定する必要があります (このスタックセットで以前に使用したのと同じカスタマイズされた管理者ロールである場合でも)。ユーザーがスタックセットに対してオペレーションを実行するアクセス許可を持っている場合、AWS CloudFormation は指定のカスタマイズされた管理者ロールを使用して更新を実行します。

同様に、ユーザーはカスタマイズされた実行ロールを指定することもできます。カスタマイズされた実行ロールを指定した場合、AWS CloudFormation は、上記の要件に従って、スタックを更新するロールを使用します。ユーザーがカスタマイズされた実行ロールを指定しない場合、AWS CloudFormation は、スタックセットでオペレーションを実行する許可がユーザーに付与されている限り、スタックセットに以前関連付けられていた、カスタマイズされた実行ロールを使用して更新を行います。

ユーザーとグループが特定のスタックセットに含めることができるリソースのアクセス許可を設定する
  1. スタックセットを作成する対象のアカウントで、ユーザーとグループがスタックセットに含めることができるようにするサービスとリソースにアクセス許可を付与するカスタマイズされた実行ロールを作成します。

    次の例では、スタックセットの最小限のアクセス許可に加えて、Amazon DynamoDB テーブルを作成するアクセス許可を付与しています。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:*", "s3:*", ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "dynamoDb:createTable" ], "Resource": "*" } ] }

    信頼関係を定義するロールを作成する際、次の信頼ポリシーを指定する必要があります。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::admin_account_id:role/customized_admin_role" }, "Action": "sts:AssumeRole" } ] }
  2. ターゲットアカウントへのアクセスを制御するアクセス許可を設定する ユーザーおよびグループが特定のターゲットアカウントでスタックセットオペレーションを実行できるアクセス許可を設定する」で説明されているように、カスタマイズされた管理者ロールを管理者アカウントで作成します。カスタマイズされた管理者ロールと、使用するカスタマイズされた実行ロールとの間に信頼関係を含めます。

    次の例には、カスタマイズされた実行ロールに加えて、sts::AssumeRoleAWSCloudFormationStackSetExecutionRoleターゲットアカウントに定義されているポリシーの両方が含まれています。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1487980684000", "Effect": "Allow", "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::*:role/AWSCloudFormationStackSetExecutionRole", "arn:aws:iam::*:role/custom_execution_role" ] } ] }

特定のスタックセットオペレーションのアクセス許可を設定する

さらに、スタックセットの作成、更新、削除、インスタンスのスタックなど、特定のスタックセットオペレーションを実行できるユーザーとグループのアクセス許可を設定できます。詳細については、「IAM ユーザーガイド」の「AWS CloudFormation のアクション、リソース、および条件キー」を参照してください。

混乱した代理問題を軽減するためにグローバルキーを設定する

混乱した代理問題は、アクションを実行する許可を持たないエンティティが、より特権のあるエンティティにアクションを実行するように強制できるセキュリティの問題です。AWS では、サービス間でのなりすましが、混乱した代理問題を生じさせることがあります。サービス間でのなりすましは、1 つのサービス (呼び出し元サービス) が、別のサービス (呼び出し対象サービス) を呼び出すときに発生する可能性があります。呼び出し元サービスが操作され、それ自身のアクセス許可を使用して、本来アクセス許可が付与されるべきではない方法で別の顧客のリソースに対して働きかけることがあります。これを防ぐために AWS では、顧客のすべてのサービスのデータを保護するのに役立つツールを提供しています。これには、アカウントのリソースへのアクセス権が付与されたサービスプリンシパルを使用します。

aws:SourceArnaws:SourceAccountリソースポリシーでおよびグローバル条件コンテキストキーを使用して、AWSCloudFormationStackSetsリソースに別のサービスを与える権限を制限することをお勧めします。両方のグローバル条件コンテキストキーを使用しており、それらが同じポリシーステートメントで使用されるときは、aws:SourceAccount 値と、aws:SourceArn 値のアカウントが同じアカウント ID を使用する必要があります。

混乱した代理問題から保護するための最も効果的な方法は、リソースの完全な ARN を指定しながら、aws:SourceArn グローバル条件コンテキストキーを使用することです。リソースの完全な ARN が不明な場合や、複数のリソースを指定する場合には、グローバルコンテキスト条件キー aws:SourceArn で、ARN の未知部分を示すためにワイルドカード (*) を使用します。例えば、arn:aws:cloudformation::123456789012:* です。より具体的であるため、可能な限り aws:SourceArn を使用してください。aws:SourceAccount は、正しい ARN または ARN パターンを判別できない場合にのみ使用してください。

StackSets管理者アカウントで管理者ロールを引き継ぐ場合、StackSets管理者アカウント ID と StackSets Amazon リソースネーム (ARN) を入力します。したがって、信頼関係でグローバルキー aws:SourceAccount および aws:SourceArn の条件を定義して、混乱した代理問題を防ぐことができます。次の例では、StackSets で aws:SourceArn および aws:SourceAccount グローバル条件コンテキストキーを使用して、混乱した代理問題を回避する方法を示します。

aws:SourceAccount および aws:SourceArn のグローバルキー

使用する際はStackSets、代理の問題が混乱しないように、aws:SourceAccountaws:SourceArnAWSCloudFormationStackSetAdministrationRoleグローバルキーと信頼ポリシーを定義してください。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:111122223333:stackset/*" } } } ] }
例 StackSets ARN

関連する StackSets ARN を指定すると、より細かく制御できます。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "111122223333", "aws:SourceArn": [ "arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-1", "arn:aws:cloudformation:STACKSETS-REGION:111122223333:stackset/STACK-SET-ID-2", ] } } } ] }