方法2: 使用 IAM 役割を設定する 自動化 - AWS Systems Manager

英語の翻訳が提供されている場合で、内容が矛盾する場合には、英語版がオリジナルとして取り扱われます。翻訳は機械翻訳により提供されています。

方法2: 使用 IAM 役割を設定する 自動化

次のサービス ロールを作成する必要がある場合は、 Systems Manager 自動化、以下を完了 タスク。自動化にサービスロールが必要な時期の詳細については、以下を参照してください。 自動化の開始.

タスク1: のサービス ロールの作成 自動化

次の手順を使用して、サービス ロール(または 想定する 役割) Systems Manager 自動化。

注記

このロールは、 AWS-CreateManagedLinuxInstance ドキュメント。この役割を使用するか、または Automation ドキュメント内の ARN により、Automation は 新しいインスタンスを起動し、 を代行します。

_を作成するには IAM 自動化によって、

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、 役割、次に 選択 ロールの作成.

  3. 以下 信頼されたエンティティのタイプを選択、選択 AWSサービス.

  4. 使用例を選択 セクションを選択し、 システムマネージャーを選択し、次に 次へ: 許可.

  5. 添付された権限ポリシー ページ、検索 の AmazonSSMAutomation役割 選択したら 選択して 次へ: レビュー.

  6. レビュー ページで、 ロール名 ]ボックスを右クリックして、 説明。

  7. 選択 ロールの作成. システムは 役割 ページ。

  8. 役割 役割を選択します。 作成して サマリー ページ。_に注意してください。 ロール名 および 役割ARN. 役割ARNは、 iam:パスロール ポリシーを 次の手順に進みます。役割名とARNを指定することもできます。 自動化ドキュメント。

注記

AmazonSSMAutomationRole ポリシーはオートメーションロールのアクセス許可を割り当てます。 サブセットに AWS Lambda アカウント内で機能します。これらの機能 「自動化」から始めます。オートメーションを Lambda 機能、 の Lambda ARNは次の形式を使用する必要があります。

"arn:aws:lambda:*:*:function:Automation*"

既存の Lambda この形式を使用しない ARN の関数、 さらに、 Lambda ポリシーをオートメーションに 役割(例: AWSLambda役割 ポリシー。追加 ポリシーまたは役割は、 Lambda の関数 AWS アカウント。

(オプション) 他を呼び出すための自動化インラインポリシー AWS サービス

他の AWS サービスを利用するには IAM サービスロール、サービスロールは、 呼び出すことができます。この要件は、 AWS 自動化 文書(AWS-*文書) AWS-ConfigureS3BucketLogging, AWS-CreateDynamoDBBackup、および AWS-RestartEC2Instance いくつか挙げます これは 要件は、 他を呼び出す AWS 他のサービスを呼び出すアクションを使用して、サービスを利用できます。対象: 例: aws:executeAwsApi, aws:CreateStack、または aws:copyImage アクション、 いくつかの名前を付けたら、 呼び出すことができます。他のユーザーへの権限を有効にすることができます。 AWS によるサービス 追加、 IAM インライン・ポリシーを役割に導入します。

サービス ロールのインライン ポリシーを埋め込むには (IAM コンソール)

  1. AWS マネジメントコンソール にサインインし、IAM コンソール(https://console.aws.amazon.com/iam/)を開きます。

  2. ナビゲーションペインで、 役割.

  3. リストで、ロールの名前を選択します。 編集します。

  4. _を選択 許可 タブ。

  5. 選択 インラインポリシーの追加.

  6. _を選択 JSON タブ。

  7. のJSONポリシードキュメントを入力します。 AWS 提供したいサービス 呼び出し。ここでは、JSONポリシードキュメントの例を2つ示します。

    Amazon S3 PutObject と GetObject 例

    { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:PutObject", "s3:GetObject" ], "Resource": "arn:aws:s3:::my-bucket-name/*" } ] }

    Amazon EC2 スナップショットの作成およびスナップショットの説明 例

    { "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":"ec2:CreateSnapshot", "Resource":"*" }, { "Effect":"Allow", "Action":"ec2:DescribeSnapshots", "Resource":"*" } ] }

    詳細については、 IAM ポリシー言語、を参照 IAM JSONポリシー 参照IAM ユーザーガイド.

  8. 終了したら、 ポリシーのレビュー. は ポリシー検証 構文エラーがレポートされます。

  9. ポリシーのレビュー ページ、 氏名 作成しているポリシーの。方針を確認する サマリー ご覧いただくのは ポリシーによって付与される権限。次に ポリシーの作成 作業を保存します。

  10. インライン ポリシーを作成すると、そのポリシーは あなたの役割です。

タスク2: iam:PassRole ポリシーの添付 自動化の役割に

以下の手順で iam:PassRole ポリシーの送信先 自動化サービスの役割です これにより、オートメーション サービスは、 他のサービスまたは Systems Manager 自動化実行時の機能 ワークフロー。

iam:PassRole ポリシーをオートメーション ロールに添付するには

  1. サマリー ページを開いて 作成済みの場合は、 許可 タブ。

  2. 選択 インラインポリシーの追加.

  3. ポリシーの作成 ページを選択し、 ビジュアルエディター タブ。

  4. 選択 サービスを選択し、次に IAM.

  5. 選択 アクションの選択.

  6. アクションをフィルター テキスト ボックス、タイプ PassRoleを選択し、次に パスロール オプション。

  7. 選択 リソース. 以下を確認します。 特定 を選択し、次に ARNの追加.

  8. ロールに ARN を指定 フィールドに貼り付けて タスク1の最後にコピーした自動化ロールARN。システム は、 アカウント および 役割名 パス フィールド。

    注記

    オートメーション サービス ロールに IAM インスタンスプロファイルロールを EC2 インスタンスに追加してから、ARN を追加する必要があります。 の IAM インスタンスプロファイルロール。これにより、 サービスロールに渡して IAM ターゲットへのインスタンス プロファイル ロール EC2 インスタンス。

  9. 選択 追加.

  10. 選択 ポリシーのレビュー.

  11. ポリシーのレビュー ページに名前を入力してから、 選択 ポリシーの作成.

タスク3: へのユーザー アクセスの構成 自動化

お客様の AWS Identity and Access Management (IAM)ユーザーアカウント、グループ、または役割が割り当てられています 管理者権限があり、 Systems Manager 自動化。あなたが 管理者の権限を持っていない場合、管理者から 権限を割り当てることで AmazonSSMFullAccess 管理ポリシー、または 同等の許可を提供するポリシーで、 IAM アカウント、グループ、または 役割。

次の手順を使用して、オートメーションを使用するようにユーザー アカウントを構成します。は 選択したユーザー アカウントには、Automation を構成して実行する権限があります。次の場合: 新しいユーザーアカウントを作成する必要があります。 でのIAMユーザーの作成 AWS アカウントIAM ユーザーガイド.

ユーザーアクセスを設定し、iam:PassRole ポリシーをユーザーに接続するには アカウント

  1. の IAM ナビゲーションペイン、選択 ユーザー、および 次に、設定するユーザー アカウントを選択します。

  2. 許可 ]タブのポリシー リストで、 確認するには、 AmazonSSMFullAccess ポリシー または、口座を提供する同等の方針が アクセス権 Systems Manager.

  3. 選択 インラインポリシーの追加.

  4. ポリシーの作成 ページ、選択 ビジュアルエディターを選択し、次に 選択 サービス.

  5. 開始 AWS サービス、選択 AWS Identity and Access Management.

  6. 対象: アクション、入力 パスロールアクションをフィルター プロンプトを選択し、 パスロール.

  7. リソース セクションを選択し、 追加 アーン、自動サービスロールのARNを貼り付けます。 コピーし、次に 追加.

  8. 選択 ポリシーのレビュー.

  9. ポリシーのレビュー ページ、 氏名 選択したら、 ポリシーの作成.

オートメーションに必要なロールの設定が完了しました。今なら、 オートメーション ドキュメントでオートメーション サービス ロールARNを使用します。