オートメーションの設定 - AWS Systems Manager

オートメーションの設定

AWS Systems Manager の一機能であるオートメーションをセットアップするには、オートメーションサービスへのユーザーアクセスを検証し、サービスがリソースでアクションを実行できるように、状況に応じてロールを設定する必要があります。AWS Systems Manager 自動化への適切なアクセスを確保するために、次のユーザーおよびサービスロールの要件を確認します。

ランブックへのユーザーアクセスの確認

ランブックを使用するアクセス許可があることを確認します。AWS Identity and Access Management (IAM) ユーザーアカウント、グループ、またはロールに管理者権限が割り当てられている場合は、Systems Manager Automation にアクセスできます。管理者アクセス許可がない場合は、管理者に AmazonSSMFullAccess 管理ポリシーの割り当てを依頼するか、IAM アカウント、グループ、またはロールに同等のアクセス許可を付与するポリシーの割り当てを依頼してください。

重要

IAM ポリシー AmazonSSMFullAccess は、Systems Manager のアクションにアクセス許可を付与します。ただし、一部のランブックでは、ランブック AWS-ReleaseElasticIP などの他のサービスに対するアクセス許可が必要であり、これには ec2:ReleaseAddress に対する IAM アクセス許可が必要です。したがって、ランブックで実行されたアクションを確認して、IAM ユーザーアカウント、グループ、またはロールに、ランブックに含まれるアクションを実行するために必要なアクセス許可が割り当てられていることを確認する必要があります。

オートメーションのサービスロール(ロールを引き受ける)アクセスの設定

オートメーションは、サービスロール(または継承ロール)のコンテキストで開始できます。これにより、サービスがユーザーに代わってアクションを実行できるようになります。継承ロールを指定しない場合、オートメーションは、オートメーションを呼び出したユーザーのコンテキストを使用します。

ただし、次の条件では、自動化にサービスロールを指定する必要があります。

  • リソースに対するユーザーのアクセス許可は制限するが、そのユーザーに昇格された許可を必要とするオートメーションを実行させる場合があるとします。このシナリオでは、昇格されたアクセス許可を持つサービスロールを作成して、このユーザーにオートメーションの実行を許可できます。

  • ランブックを実行する Systems Manager ステートマネージャーの関連付けを作成する場合。

  • 実行時間が 12 時間を超えると予想されるオペレーションがある場合。

  • aws:executeScript アクションを使用して AWS API オペレーションを呼び出したり、AWS リソースを操作する Amazon が所有していないランブックを実行している場合。詳細については、ランブックを使用するためのアクセス許可 を参照してください。

自動化のためのサービスロールを作成する必要がある場合、次のいずれかのメソッドを使用できます。