ベースラインアクセス許可 - AWS Service Catalog

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ベースラインアクセス許可

このセクションでは、ベースラインを設定する方法について説明します。AWSのユーザと権限AWSJira サービスマネジメント用のサービス管理コネクタ。

ベースラインのアクセス許可に使用できるテンプレート

AWS を使用するには CloudFormation をセットアップするためのテンプレートAWSConnector for Jira Service Management の設定については、「」を参照してください。AWSの構成Connector for Jira Service Management v1.9.0-AWS商用そしてConnector for Jira Service Management v1.9.0-AWS GovCloud 西地域

注記

Connector for Jira Service Management v1.9.0_AWS 設定テンプレートを使用する場合は、の設定AWS Service Catalog

AWS アカウントごとに、Connector for Jira Service Managementには API アクセス用のアクセスキー識別子と 1 つのシークレットキーが 2 セット必要です。これらはAWS Identity and Access Management (IAM) のユーザーに対応しています。具体的には、以下を設定する必要があります。

  • 同期する IAM ユーザーAWSリソースと同期して管理するにはAWS SupportJira サービスマネジメントによるケース。

  • プロビジョニングと実行に必要なロールを引き受けるなど、Jira サービスマネジメントを通じて公開されたリクエストをプロビジョニングおよび実行するためのエンドユーザー機能を実行できる IAM ユーザー。AWS Service Catalog のロールを起動することをお勧めします。

これらは同じユーザーでも既存のユーザーでもかまいません。コネクタには 2 人の新しいユーザーを割り当てることをお勧めします。

注記

を使用するにはAWS CloudFormationをセットアップするためのテンプレートAWSConnector for Jira Service Management の設定。AWS Configの排尿Connector for Jira Service Management v1.9.0-AWS商用そしてConnector for Jira Service Management v1.9.0-AWS GovCloud 西地域

の作成AWSサービスマネジメントコネクタ同期ユーザー

次のセクションでは、の作成方法について説明します。AWSコネクタ同期ユーザーを同期し、適切な IAM アクセス許可を関連付けます。このタスクを実行するには、新しいユーザーを作成するために IAM アクセス許可が必要です。

AWS Service Management Connector の同期ユーザーを作成するには

  1. IAM ポリシーの作成」の手順に従って ssmopsiteMactionPolicy ポリシーを作成します。このポリシーにより、Jira 管理者は、作成および管理を行うことができます。AWS Systems ManagerOpsItems.

    このポリシーをコピーして [ポリシードキュメント] に貼り付けます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateOpsItem", "ssm:GetOpsItem", "ssm:UpdateOpsItem", "ssm:DescribeOpsItems", "ssm:CreateOpsItem" ], "Resource": "*" } ] }
  2. IAM ポリシーの作成」の手順に従って、ConfigBidirectionalSecurityHubSQSBaseline ポリシーを作成します。

    このポリシーをコピーし、JSON エディタに貼り付けます。

    { "Version":"2012-10-17", "Statement":[ { "Sid":"VisualEditor0", "Effect":"Allow", "Action":[ "cloudformation:RegisterType", "cloudformation:DescribeTypeRegistration", "cloudformation:DeregisterType", "sqs:ReceiveMessage", "sqs:DeleteMessage", "securityhub:BatchUpdateFindings" ], "Resource":"*" } ] }
  3. 「」の指示に従って、での IAM ユーザーの作成AWSアカウントをクリックして、同期ユーザー (SCSyncUser) を作成します。ユーザーにはプログラムが必要であり、AWSConnector for Jira Service Management のインストール手順に従うための管理コンソールへのアクセス。

    同期ユーザー (SCSyncUser) にアクセス許可を設定します。選択次のポリシーを直接アタッチしますを選択し、AWSServiceCatalogAdminReadOnlyAccess,AmazonSSMReadOnlyAccess,ssmopsiteMactionPolicy、AWSSupportAccess, および双方向セキュリティ HubsqsBaseline を設定します。

  4. 許可するポリシーを追加する予算:予算の表示すべてのリソース (*) で。

  5. [ユーザーの作成] を確認し、選択します。

  6. アクセスとシークレットアクセス情報をメモしておきます。ユーザー認証情報が記載されている .csv ファイルをダウンロードします。

の作成AWSサービスマネジメントコネクタエンドユーザー

次のセクションでは、の作成方法について説明します。AWSサービス管理コネクタのエンドユーザーと適切な IAM アクセス許可を関連付けます。このタスクを実行するには、新しいユーザーを作成するために IAM アクセス許可が必要です。

を作成するにはAWSサービスマネジメントコネクタエンドユーザー

  1. 「」の指示に従って、での IAM ユーザーの作成AWSアカウントを使用して、ユーザー (ScendUser など) を作成します。Connector for Jira Service Management のインストール手順に従うには、ユーザーにプログラムおよび AWS Management Console アクセス権が必要です。

  2. AWS CloudFormation StackSets を使用する製品の場合は、スタックセットのインラインポリシーを作成する必要があります。AWS CloudFormation StackSets を使用すると、複数のアカウントおよびリージョンにまたがってデプロイする製品を作成できます。

    管理者アカウントを使用して、AWS Service Catalog 製品を定義および管理し、指定のリージョンの選択されたターゲットアカウントにスタックをプロビジョニングする基盤としてその製品を使用します。必要なアクセス許可が AWS アカウントで定義されている必要があります。

    必要なアクセス権限を設定するには、「スタックセットオペレーションのアクセス権限の付与」の手順に従って [AWSCloudFormationStackSetAdministrationRole] と [AWSCloudFormationStackSetExecutionRole] を作成します。

  3. スタックセットのインラインポリシーを作成し、1 つのアカウントの複数のリージョンにまたがって製品をプロビジョニングできるようにし、arn 番号文字列をアカウント番号に置き換えます。

    { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": [ "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetExecutionRole" ], "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:GetRole", "iam:PassRole" ], "Resource": "arn:aws:iam::123456789123:role/AWSCloudFormationStackSetAdministrationRole" } ] }
    注記

    -Connector for Jira Service Management v1.9.0-AWS商用そしてConnector for Jira Service Management v1.9.0-AWSGovCloud 西地域テンプレートには、AWS CloudFormationStackSet パーミッションの設定。

  4. 次のアクセス許可 (ポリシー) をユーザーの SCEndUser に追加します。

    • AWS サービスカタログユーザーフルアクセス-(AWS管理ポリシー)

    • StackSet – (インラインポリシー)

    • AmazonS3ReadOnlyAccess-(AWS管理ポリシー)

    • AmazonEC2ReadOnlyAccess-(AWS管理ポリシー)

    • AWSConfigUserAccess-(AWS管理ポリシー)

    • SSMOpsItemActionPolicy - (インラインポリシー)

    • ConfigBidirectionalSecurityHubSQSBaseline - (インラインポリシー)

    注記

    AWS CloudFormation StackSets を持つ AWS Service Catalog 製品の場合、プロビジョニングするサービスの読み取り専用アクセス許可を含める必要があります。例えば、Amazon S3 バケットをプロビジョニングするには、AmazonS3ReadOnlyAccess ポリシーを SCEndUser ロールに含めます。

  5. また、すべてのリソース (*) で次のことを許可するポリシーを追加します。ssm:DescribeAutomationExecutionsssm:DescribeDocument、および ssm:StartAutomationExecution

  6. [ユーザーの作成] を確認し、選択します。

  7. アクセスとシークレットアクセス情報をメモしておきます。ユーザー認証情報が記載されている .csv ファイルをダウンロードします。

SCConnectLaunch ロールの作成

次のセクションでは、[SCConnectLaunch] ロールを作成する方法について説明します。このロールは、ベースラインとなる AWS のサービスへのアクセス許可を AWS Service Catalog の起動の制約に配置します。詳細については、「AWS Service Catalog の起動制約」を参照してください。

SCConnectLaunch ロールを作成するには

  1. AWSCloudFormationFullAccess ポリシーを作成します。[ポリシーの作成] を選択して、以下を JSON エディタに貼り付けます。

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:DescribeStackResource", "cloudformation:DescribeStackResources", "cloudformation:GetTemplate", "cloudformation:List*", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "cloudformation:CreateChangeSet", "cloudformation:DescribeChangeSet", "cloudformation:ExecuteChangeSet", "cloudformation:DeleteChangeSet", "s3:GetObject" ], "Resource": "*" } ] }
  2. ServiceCatalogSSMActionsBaseline というポリシーを作成します。「IAM ポリシーの作成」の手順に従って、次のテキストを JSON エディタに貼り付けます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "Stmt1536341175150", "Action": [ "servicecatalog:ListServiceActionsForProvisioningArtifact", "servicecatalog:ExecuteprovisionedProductServiceAction", "ssm:DescribeDocument", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:StopAutomationExecution", "cloudformation:ListStackResources", "ec2:DescribeInstanceStatus", "ec2:StartInstances", "ec2:StopInstances" ], "Effect": "Allow", "Resource": "*" } ] }
  3. SCConnectLaunch ロールを作成します。AWS Service Catalog に信頼関係を割り当てます。

    { "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "servicecatalog.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
  4. 関連するポリシーを SCConnectLaunch ロールにアタッチします。次のベースライン IAM ポリシーをアタッチします。

    • AmazonEC2FullAccess (AWS 管理ポリシー)

    • AmazonS3FullAccess (AWS 管理ポリシー)

    • AWSCloudFormationFullAccess (カスタム管理ポリシー)

    • ServiceCatalogSSMActionsBaseline (カスタム管理ポリシー)

注記

を使用するにはAWS CloudFormationをセットアップするためのテンプレートAWSConnector for Jira Service Management の設定。AWS Configの排尿Connector for Jira サービスマネジメント v1.9.0-AWS商用そしてConnector for Jira サービスマネジメント v1.9.0-AWS GovCloud 西地域