翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
方法 1: AWS CloudFormation を使用して自動化のサービスロールを設定する
AWS CloudFormation テンプレートから、AWS Systems Manager の一機能であるオートメーションのサービスロールを作成できます。サービスロールを作成したら、パラメータ AutomationAssumeRole
を使用してランブックでサービスロールを指定できます。
を使用してサービスロールを作成するAWS CloudFormation
AWS CloudFormation を使用して Systems Manager Automation に必要な AWS Identity and Access Management (IAM) ロールを作成するには、次の手順に従います。
必須の IAM ロールを作成するには
-
AWS-SystemsManager-AutomationServiceRole.zip
ファイルをダウンロードして解凍します。このファイルには、AWS-SystemsManager-AutomationServiceRole.yaml
AWS CloudFormation テンプレートファイルが含まれています。 https://console.aws.amazon.com/cloudformation
で AWS CloudFormation コンソール を開きます。 -
[Create Stack] を選択します。
-
[Specify template (テンプレートの指定)] セクションで、[Upload a template file (テンプレートファイルのアップロード)] を選択します。
-
[参照] を選択して、
AWS-SystemsManager-AutomationServiceRole.yaml
AWS CloudFormation テンプレートファイルを選択します。 -
[Next] を選択します。
-
[Specify stack details (スタックの詳細の指定)] ページの [Stack Name (スタック名)] フィールドに名前を入力します。
-
[Configure stack options (スタックオプションの設定)] ページでは何も選択する必要はありません。[Next] を選択します。
-
[Review (確認)] ページで、下にスクロールして、[I acknowledge that AWS CloudFormation might create IAM resources] オプションを選択します。
-
[Create] を選択します。
CloudFormation は、[CREATE_IN_PROGRESS] ステータスを約 3 分間表示します。スタックが作成され、ロールを使用できる状態になると、ステータスが [CREATE_COMPLETE] に変わります。
重要
AWS Identity and Access Management (IAM) サービスロールを使用して他のサービスを呼び出す自動化ワークフローを実行する場合は、それらのサービスを呼び出すためのアクセス許可をサービスロールに設定する必要がある点に注意してください。この要件は、AWS-ConfigureS3BucketLogging
、AWS-CreateDynamoDBBackup
、AWS-RestartEC2Instance
ランブックなど、すべての AWS オートメーションランブック (AWS-*
ランブック) に適用されます。この要件は、他のサービスを呼び出すアクションを使用して他の AWS のサービスを呼び出すように作成したカスタムオートメーションランブックにも適用されます。例えば、aws:executeAwsApi
、aws:createStack
、または aws:copyImage
のアクションを使用する場合は、それらのサービスを呼び出すためのアクセス許可を持つサービスロールを設定します。ロールに IAM インラインポリシーを追加することで、他の AWS のサービスへのアクセス許可を有効にできます。詳細については、「(オプション) 他の AWS のサービス を呼び出すためのオートメーションインラインポリシーまたはカスタマー管理ポリシーを追加する」を参照してください。
自動化のロール情報をコピーする
次の手順を使用して、AWS CloudFormation コンソールから自動化サービスロールの情報をコピーします。ランブックを使用するときは、これらのロールを指定する必要があります。
注記
AWS-UpdateLinuxAmi
または AWS-UpdateWindowsAmi
ランブックを実行する場合は、この手順を使ってロール情報をコピーする必要はありません。これらのランブックには、すでにデフォルト値として指定されている必要なロールがあります。これらのランブックで指定されているロールは、IAM 管理ポリシーを使用します。
ロール名をコピーするには
AWS CloudFormation コンソール (https://console.aws.amazon.com/cloudformation
) を開きます。 -
前の手順で作成したオートメーション [スタック名] を選択します。
-
[Resources] タブを選択します。
-
[AutomationServiceRole] リンクの [Physical ID] を選択します。IAM コンソールが、オートメーションサービスロールの概要を開きます。
-
[ロール ARN] の横にある Amazon リソースネーム (ARN) をコピーします。ARN は次のようになります。
arn:aws:iam::12345678:role/AutomationServiceRole
-
ARN を後で使用するテキストファイルに貼り付けます。
これで、自動化用サービスロールの設定が完了しました。ランブックでオートメーションサービスロール ARN を使用できるようになりました。