方法 1: AWS CloudFormation を使用して自動化のサービスロールを設定する - AWS Systems Manager

方法 1: AWS CloudFormation を使用して自動化のサービスロールを設定する

AWS CloudFormation テンプレートから、AWS Systems Manager の一機能であるオートメーションのサービスロールを作成できます。サービスロールを作成したら、パラメータ AutomationAssumeRole を使用してランブックでサービスロールを指定できます。オートメーションサービスロールを使用してオートメーションを実行する方法については、「IAM サービスロールを使用して、オートメーションを実行する」を参照してください。

を使用してサービスロールを作成するAWS CloudFormation

AWS CloudFormation を使用して Systems Manager Automation に必要な AWS Identity and Access Management (IAM) ロールを作成するには、次の手順に従います。

必須の IAM ロールを作成するには

  1. AWS-SystemsManager-AutomationServiceRole.zip ファイルをダウンロードして解凍します。このファイルには、AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation テンプレートファイルが含まれています。

  2. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソール を開きます。

  3. [Create Stack] を選択します。

  4. [Specify template (テンプレートの指定)] セクションで、[Upload a template file (テンプレートファイルのアップロード)] を選択します。

  5. [参照] を選択して、AWS-SystemsManager-AutomationServiceRole.yaml AWS CloudFormation テンプレートファイルを選択します。

  6. [Next] を選択します。

  7. [Specify stack details (スタックの詳細の指定)] ページの [Stack Name (スタック名)] フィールドに名前を入力します。

  8. [Configure stack options (スタックオプションの設定)] ページでは何も選択する必要はありません。[Next] を選択します。

  9. [Review (確認)] ページで、下にスクロールして、[I acknowledge that AWS CloudFormation might create IAM resources] オプションを選択します。

  10. [Create] を選択します。

CloudFormation は、[CREATE_IN_PROGRESS] ステータスを約 3 分間表示します。スタックが作成され、ロールを使用できる状態になると、ステータスが [CREATE_COMPLETE] に変わります。

重要

AWS Identity and Access Management (IAM) サービスロールを使用して他のサービスを呼び出す自動化ワークフローを実行する場合は、それらのサービスを呼び出すためのアクセス許可をサービスロールに設定する必要がある点に注意してください。この要件は、AWS-ConfigureS3BucketLoggingAWS-CreateDynamoDBBackupAWS-RestartEC2Instance ランブックなど、すべての AWS オートメーションランブック (AWS-* ランブック) に適用されます。この要件は、他のサービスを呼び出すアクションを使用して他の AWS のサービスを呼び出すように作成したカスタムオートメーションランブックにも適用されます。例えば、aws:executeAwsApiaws:createStack、または aws:copyImage のアクションを使用する場合は、それらのサービスを呼び出すためのアクセス許可を持つサービスロールを設定します。ロールに IAM インラインポリシーを追加することで、他の AWS のサービスへのアクセス許可を有効にできます。詳細については、「」を参照してください(オプション) 他の AWS のサービスを呼び出すためのオートメーションインラインポリシーを追加する

自動化のロール情報をコピーする

次の手順を使用して、AWS CloudFormation コンソールから自動化サービスロールの情報をコピーします。ランブックを使用するときは、これらのロールを指定する必要があります。

注記

AWS-UpdateLinuxAmi または AWS-UpdateWindowsAmi ランブックを実行する場合は、この手順を使ってロール情報をコピーする必要はありません。これらのランブックには、すでにデフォルト値として指定されている必要なロールがあります。これらのランブックで指定されているロールは、IAM 管理ポリシーを使用します。

ロール名をコピーするには

  1. https://console.aws.amazon.com/cloudformation で AWS CloudFormation コンソール を開きます。

  2. 前の手順で作成したオートメーション [スタック名] を選択します。

  3. [Resources] タブを選択します。

  4. [AutomationServiceRole] リンクの [Physical ID] を選択します。IAM コンソールが、オートメーションサービスロールの概要を開きます。

  5. [ロール ARN] の横にある Amazon リソースネーム (ARN) をコピーします。ARN は次のようになります。arn:aws:iam::12345678:role/AutomationServiceRole

  6. ARN を後で使用するテキストファイルに貼り付けます。

これで、自動化用サービスロールの設定が完了しました。ランブックでオートメーションサービスロール ARN を使用できるようになりました。