Systems Manager Explorer のロールとアクセス許可の設定

統合セットアップは、AWS Systems Manager Explorer と AWS Systems Manager OpsCenter の AWS Identity and Access Management (IAM) ロールを自動的に作成および設定します。統合セットアップを完了した場合、Explorer のロールとアクセス権限を設定するために追加のタスクを実行する必要はありません。ただし、このトピックで後述するように、OpsCenter のアクセス権限を設定する必要があります。

統合セットアップで作成されるロールについて

統合セットアップでは、Explorer および OpsCenter を操作するための以下のロールが作成、設定されます。

• AWSServiceRoleForAmazonSSM: Systems Manager が管理または使用する AWS リソースへのアクセスを提供します。

• OpsItem-CWE-Role: 一般的なイベントに応答して、CloudWatch Events と EventBridge が OpsItems を作成することを許可します。

• AWSServiceRoleForAmazonSSM_AccountDiscovery: Systems Manager が、データの同期時に他の AWS サービスを呼び出して AWS アカウント 情報を検出できるようにします。このロールの詳細については、「AWSServiceRoleForAmazonSSM_AccountDiscovery ロールについて」を参照してください。

• AmazonSSMExplorerExport: Explorer が OpsData をカンマ区切り値 (CSV) ファイルにエクスポートできるようにします。

AWSServiceRoleForAmazonSSM_AccountDiscovery ロールについて

AWS Organizations とリソースデータ同期を使用して複数のアカウントとリージョンのデータを表示するように Explorer を設定すると、Systems Manager がサービスにリンクされたロールを作成します。Systems Manager は、このロールを使用して、AWS Organizations の AWS アカウント に関する情報を取得します。ロールは以下のアクセス権限ポリシーを使用します。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "organizations:DescribeAccount",
            "organizations:DescribeOrganization",
            "organizations:ListAccounts",
            "organizations:ListAWSServiceAccessForOrganization",
            "organizations:ListChildren",
            "organizations:ListParents"
         ],
         "Resource":"*"
      }
   ]
}

AWSServiceRoleForAmazonSSM_AccountDiscovery ロールの詳細については、「ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集」を参照してください。

Systems Manager OpsCenter のアクセス許可を設定する

統合セットアップを完了したら、ユーザーが OpsCenter でアクションを実行できるように、ユーザー、グループ、ロールのアクセス許可を設定する必要があります。

開始する前に

OpsCenter では、複数のアカウントにわたって OpsItems を作成および管理するように設定することも、1 つのアカウントのみを作成および管理するように設定することもできます。複数のアカウントにわたって OpsItems を作成および管理するように OpsCenter を設定した場合、AWS Organizations 管理アカウントは他のアカウントで OpsItems を手動で作成、表示、編集することができます。必要に応じて、Systems Manager 委任管理者アカウントを選択し、メンバーアカウントで OpsItems を作成および管理することもできます。  ただし、1 つのアカウントで OpsCenter を設定する場合は、OpsItems が作成されたアカウントでのみ OpsItems を表示または編集できます。AWS アカウント 間で OpsItems を共有または転送することはできません。そのため、AWS ワークロードの実行に使用している AWS アカウント で、OpsCenter のアクセス権限を設定することをお勧めします。これで、そのアカウントで ユーザーまたはグループを作成することができます。このように、複数のオペレーションエンジニアまたは IT プロフェッショナルが同じ AWS アカウント で OpsItems を作成、表示、編集することができます。

Explorer と OpsCenter では、次の API オペレーションを使用します。ユーザー、グループ、ロールにこれらのアクションへのアクセス権がある場合は、Explorer および OpsCenter のすべての機能を使用できます。このセクションで後述するように、より制限的なアクセスを作成することもできます。

• CreateOpsItem

• CreateResourceDataSync

• DescribeOpsItems

• DeleteResourceDataSync

• GetOpsItem

• GetOpsSummary

• ListResourceDataSync

• UpdateOpsItem

• UpdateResourceDataSync

必要に応じて次のインラインポリシーをアカウント、グループ、ロールに追加することで、読み取り専用のアクセス許可を指定できます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:GetOpsSummary",
        "ssm:DescribeOpsItems",
        "ssm:GetServiceSetting",
        "ssm:ListResourceDataSync"
      ],
      "Resource": "*"
    }
  ]
}

IAM ユーザーポリシーの作成と編集の詳細については、IAM ユーザーガイドの「IAM ポリシーの作成」を参照してください。このポリシーを IAM グループに割り当てる方法については、「IAM グループへのポリシーのアタッチ」を参照してください。

以下を使用してアクセス許可を作成し、ユーザー、グループ、ロールに追加します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem",
        "ssm:UpdateOpsItem",
        "ssm:DescribeOpsItems",
        "ssm:CreateOpsItem",
        "ssm:CreateResourceDataSync",
        "ssm:DeleteResourceDataSync",
        "ssm:ListResourceDataSync",
        "ssm:UpdateResourceDataSync"

      ],
      "Resource": "*"
    }
  ]
}

組織で使用しているアイデンティティアプリケーションに応じて、次のオプションのいずれかを選択し、ユーザーアクセスを設定できます。

アクセス権限を付与するには、ユーザー、グループ、またはロールにアクセス許可を追加します。

• AWS IAM Identity Center のユーザーとグループ:

  アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「権限設定を作成する」の手順に従ってください。

• IAM 内で、ID プロバイダーによって管理されているユーザー:

  ID フェデレーションのロールを作成します。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。

• IAM ユーザー:

  • ユーザーが担当できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。

  • (お奨めできない方法) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加する。詳細については、「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス権限の追加」を参照してください。

タグを使用した OpsItems へのアクセスの制限

また、タグを指定するインライン IAM ポリシーを使用して、OpsItems へのアクセスを制限することもできます。タグキー Department とタグ値 Finance を指定する例を以下に示します。このポリシーでは、ユーザーは GetOpsItem API オペレーションを呼び出して、以前、Key=Department および Value=Finance とタグ付けされていた OpsItems のみを表示できます。それ以外の OpsItems を表示することはできません。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "ssm:GetOpsItem"
             ],
      "Resource": "*"
      ,
      "Condition": { "StringEquals": { "ssm:resourceTag/Department": "Finance" } }
    }
  ]
}

OpsItems を表示し、更新するための API オペレーションを指定する例を以下に示します。このポリシーでは、タグキーと値の 2 組のペア (Department-Finance と Project-Unity) も指定します。

{
   "Version":"2012-10-17",
   "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "ssm:GetOpsItem",
            "ssm:UpdateOpsItem"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "ssm:resourceTag/Department":"Finance",
               "ssm:resourceTag/Project":"Unity"
            }
         }
      }
   ]
}

OpsItem へのタグの追加については、「OpsItems を手動で作成する」を参照してください。