翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
セットアップ AWS AppConfig
まだサインアップしていない場合は、 にサインアップ AWS アカウント して管理ユーザーを作成します。
にサインアップする AWS アカウント
がない場合は AWS アカウント、次のステップを実行して作成します。
にサインアップするには AWS アカウント
オンラインの手順に従います。
サインアップ手順の一環として、通話呼び出しを受け取り、電話キーパッドで検証コードを入力するように求められます。
にサインアップすると AWS アカウント、 AWS アカウントのルートユーザーが作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティのベストプラクティスとして、ユーザーに管理アクセスを割り当て、ルートユーザーのみを使用してルートユーザーアクセスが必要なタスクを実行してください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。https://aws.amazon.com/
管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、 を保護し AWS アカウントのルートユーザー、 を有効にして AWS IAM Identity Center、日常的なタスクにルートユーザーを使用しないように管理ユーザーを作成します。
のセキュリティ保護 AWS アカウントのルートユーザー
-
ルートユーザーを選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者AWS Management Console
として にサインインします。次のページでパスワードを入力します。 ルートユーザーを使用してサインインする方法については、AWS サインイン ユーザーガイドのルートユーザーとしてサインインするを参照してください。
-
ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、「IAM ユーザーガイド」の AWS アカウント 「ルートユーザーの仮想 MFA デバイスを有効にする (コンソール)」を参照してください。
管理アクセスを持つユーザーを作成する
-
IAM アイデンティティセンターを有効にします。
手順については、「AWS IAM Identity Center ユーザーガイド」の「AWS IAM Identity Centerの有効化」を参照してください。
-
IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、「 ユーザーガイド」の「デフォルト でユーザーアクセス IAM アイデンティティセンターディレクトリを設定するAWS IAM Identity Center 」を参照してください。
管理アクセス権を持つユーザーとしてサインインする
-
IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、「 AWS サインイン ユーザーガイド」の AWS 「 アクセスポータルにサインインする」を参照してください。
追加のユーザーにアクセス権を割り当てる
プログラム的なアクセス権を付与する
ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS Management Console。プログラムによるアクセスを許可する方法は、 にアクセスするユーザーのタイプによって異なります AWS。
ユーザーにプログラマチックアクセス権を付与するには、以下のいずれかのオプションを選択します。
プログラマチックアクセス権を必要とするユーザー | 目的 | 方法 |
---|---|---|
ワークフォースアイデンティティ (IAM Identity Center で管理されているユーザー) |
一時的な認証情報を使用して、、 AWS SDKs AWS CLI、または AWS APIs。 |
使用するインターフェイス用の手引きに従ってください。
|
IAM | 一時的な認証情報を使用して、、 AWS SDKs AWS CLI、または AWS APIs。 | 「IAM ユーザーガイド」の「 AWS リソースでの一時的な認証情報の使用」の手順に従います。 |
IAM | (非推奨) 長期認証情報を使用して、、 AWS SDKs AWS CLI、または AWS APIs。 |
使用するインターフェイス用の手引きに従ってください。
|
自動ロールバックのアクセス許可を設定する
1 つ以上の Amazon CloudWatch アラームに応答して、設定の以前のバージョンにロールバック AWS AppConfig するように を設定できます。 CloudWatch アラームに応答するようにデプロイを設定するときは、 AWS Identity and Access Management (IAM) role を指定します。 は CloudWatch 、アラームをモニタリングできるようにこのロール AWS AppConfig を必要とします。この手順はオプションですが、強くお勧めします。
注記
IAM ロールは 現在のアカウントに属している必要があります。デフォルトでは、 は現在のアカウントが所有するアラームのみをモニタリング AWS AppConfig できます。別のアカウントのメトリクスに応じてデプロイを AWS AppConfig ロールバックするように を設定する場合は、クロスアカウントアラームを設定する必要があります。詳細については、「Amazon ユーザーガイド」の「クロスアカウントクロスリージョン CloudWatch コンソール」を参照してください。 CloudWatch
以下の手順に従って、 が CloudWatch アラームに基づいてロールバック AWS AppConfig できるようにする IAM ロールを作成します。このセクションには、以下の手順が含まれます。
ステップ 1: CloudWatch アラームに基づいてロールバックのアクセス許可ポリシーを作成する
API DescribeAlarms
アクションを呼び出す AWS AppConfig アクセス許可を付与する IAM ポリシーを作成するには、次の手順を使用します。
アラームに基づいて CloudWatchロールバック用の IAM アクセス許可ポリシーを作成するには
-
https://console.aws.amazon.com/iam/
で IAM コンソール を開きます。 -
ナビゲーションペインで ポリシーを選択してから ポリシーの作成を選択します。
-
ポリシーの作成ページで、JSON タブを選択します。
-
JSON タブのデフォルトのコンテンツを次のアクセス許可ポリシーに置き換え、次へ: タグ を選択します。
注記
CloudWatch 複合アラームに関する情報を返すには、次に示すように API DescribeAlarms オペレーションに
*
アクセス許可を割り当てる必要があります。の範囲が狭い場合DescribeAlarms
、複合アラームに関する情報を返すことはできません。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:DescribeAlarms" ], "Resource": "*" } ] }
-
このロールのタグを入力し、次へ: 確認 を選択します。
-
確認 ページで、名前フィールドに「
SSMCloudWatchAlarmDiscoveryPolicy
」を入力します。 -
ポリシーの作成を選択します。システムによってポリシーページに戻ります。
ステップ 2: CloudWatch アラームに基づいてロールバック用の IAM ロールを作成する
次の手順を使用して、IAM ロールを作成し、前の手順で作成したポリシーをそのロールに割り当てます。
CloudWatch アラームに基づいてロールバック用の IAM ロールを作成するには
-
https://console.aws.amazon.com/iam/
IAMコンソールを開きます。 -
ナビゲーションペインで ロール を選択し、続いて ロールを作成する を選択します。
-
信頼されたエンティティの種類を選択 の下で、AWS サービス ( ) を選択します。
-
このロールを使用するサービスを選択 のすぐ下で、EC2: お客様に代わって EC2 インスタンスが AWS サービスを呼び出すことができるようにするを選択し、次へ: アクセス許可 を選択します。
-
添付されたアクセス許可ポリシーページで、SSMCloudWatchAlarmDiscoveryPolicy を検索します。
-
このポリシーを選択し、次へ: タグ を選択します。
-
このロールのタグを入力し、次へ: 確認 を選択します。
-
ロールの作成ページで、ロール名 フィールドに「
SSMCloudWatchAlarmDiscoveryRole
」を入力し、ロールの作成 を選択します。 -
ロール ページで、作成したロールを選択します。概要 ページが開きます。
ステップ 3: 信頼関係を追加する
次の手順を使用して、先ほど作成したロールが AWS AppConfigを信頼するように設定します。
の信頼関係を追加するには AWS AppConfig
-
作成したロールの 概要 ページで 信頼関係 タブを選択し、信頼関係の編集 を選択します。
-
次の例に示すように、「
appconfig.amazonaws.com
」のみを含めるようにポリシーを編集します。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appconfig.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
-
信頼ポリシーの更新 を選択します。