方法 1: AWS CloudFormation を使用して自動化のサービスロールを設定する - AWS Systems Manager

方法 1: AWS CloudFormation を使用して自動化のサービスロールを設定する

AWS CloudFormation テンプレートから、AWS Systems Manager の一機能であるオートメーションのサービスロールを作成できます。サービスロールを作成したら、パラメータ AutomationAssumeRole を使用してランブックでサービスロールを指定できます。

を使用してサービスロールを作成するAWS CloudFormation

AWS CloudFormation を使用して Systems Manager Automation に必要な AWS Identity and Access Management (IAM) ロールを作成するには、次の手順に従います。

必須の IAM ロールを作成するには

  1. AWS-SystemsManager-AutomationServiceRole.zip ファイルをダウンロードして解凍します。このファイルには、AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation テンプレートファイルが含まれています。

  2. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソール を開きます。

  3. [Create Stack] を選択します。

  4. [Specify template (テンプレートの指定)] セクションで、[Upload a template file (テンプレートファイルのアップロード)] を選択します。

  5. [参照] を選択して、AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation テンプレートファイルを選択します。

  6. [Next] を選択します。

  7. [Specify stack details (スタックの詳細の指定)] ページの [Stack Name (スタック名)] フィールドに名前を入力します。

  8. [Configure stack options (スタックオプションの設定)] ページでは何も選択する必要はありません。[Next] を選択します。

  9. [Review (確認)] ページで、下にスクロールして、[I acknowledge that AWS CloudFormation might create IAM resources] オプションを選択します。

  10. [Create] を選択します。

CloudFormation は、[CREATE_IN_PROGRESS] ステータスを約 3 分間表示します。スタックが作成され、ロールを使用できる状態になると、ステータスが [CREATE_COMPLETE] に変わります。

重要

AWS Identity and Access Management (IAM) サービスロールを使用して他のサービスを呼び出す自動化ワークフローを実行する場合は、それらのサービスを呼び出すためのアクセス許可をサービスロールに設定する必要がある点に注意してください。この要件は、AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance ランブックなど、すべての AWS オートメーションランブック (AWS-* ランブック) に適用されます。この要件は、他のサービスを呼び出すアクションを使用して他の AWS のサービスを呼び出すように作成したカスタムオートメーションランブックにも適用されます。例えば、aws:executeAwsApiaws:createStack、または aws:copyImage のアクションを使用する場合は、それらのサービスを呼び出すためのアクセス許可を持つサービスロールを設定します。ロールに IAM インラインポリシーを追加することで、他の AWS のサービスへのアクセス許可を有効にできます。詳しくは、「(オプション) 他の AWS のサービスを呼び出すためのオートメーションインラインポリシーを追加する」を参照してください。

自動化のロール情報をコピーする

次の手順を使用して、AWS CloudFormation コンソールから自動化サービスロールの情報をコピーします。ランブックを使用するときは、これらのロールを指定する必要があります。

注記

AWS-UpdateLinuxAmi または AWS-UpdateWindowsAmi ランブックを実行する場合は、この手順を使ってロール情報をコピーする必要はありません。これらのランブックには、すでにデフォルト値として指定されている必要なロールがあります。これらのランブックで指定されているロールは、IAM 管理ポリシーを使用します。

ロール名をコピーするには

  1. AWS CloudFormation コンソール (https://console.aws.amazon.com/cloudformation) を開きます。

  2. 前の手順で作成したオートメーション [スタック名] を選択します。

  3. [Resources] タブを選択します。

  4. [AutomationServiceRole] リンクの [Physical ID] を選択します。IAM コンソールが、オートメーションサービスロールの概要を開きます。

  5. [ロール ARN] の横にある Amazon リソースネーム (ARN) をコピーします。ARN は次のようになります。arn:aws:iam::12345678:role/AutomationServiceRole

  6. ARN を後で使用するテキストファイルに貼り付けます。

これで、自動化用サービスロールの設定が完了しました。ランブックでオートメーションサービスロール ARN を使用できるようになりました。