自動化の使用を開始する - AWS Systems Manager

自動化の使用を開始する

自動化をセットアップするには、自動化サービスへのユーザーアクセスを検証し、サービスがリソースでアクションを実行できるように、状況に応じてロールを設定する必要があります。Systems Manager 自動化への適切なアクセスを確保するために、次のユーザーおよびサービスロールの要件を確認します。

オートメーションワークフローのユーザーアクセスの確認

オートメーションワークフローを実行するためのアクセス許可があることを確認します。AWS Identity and Access Management (IAM) ユーザーアカウント、グループ、またはロールに管理者権限が割り当てられている場合は、Systems Manager Automation にアクセスできます。管理者権限がない場合には、管理者が AmazonSSMFullAccess 管理ポリシー、あるいは IAM アカウント、グループまたはロールに同等のアクセス権限を提供するポリシーを割り当てることで、ユーザーにアクセス権限を付与する必要があります。

重要

IAM ポリシー AmazonSSMFullAccess は、Systems Manager アクションへのアクセス許可を付与します。ただし、一部の自動化ドキュメントでは、ec2:ReleaseAddress の IAM アクセス権限が必要なドキュメント AWS-ReleaseElasticIP などの他のサービスへのアクセス権限が必要です。したがって、自動化ドキュメントで実行されたアクションを確認して、IAM ユーザーアカウント、グループ、またはロールに、ドキュメントに含まれるアクションを実行するために必要なアクセス許可が割り当てられていることを確認する必要があります。

オートメーションワークフローのサービスロール(ロールを引き受ける)アクセスの設定

自動化ワークフローは、サービスロール(または継承ロール)のコンテキストで開始できます。これにより、サービスがユーザーに代わってアクションを実行できるようになります。継承ロールを指定しない場合、自動化は、実行を呼び出したユーザーのコンテキストを使用します。

ただし、次の条件では、自動化にサービスロールを指定する必要があります。

  • リソースに対するユーザーの特権は制限するが、そのユーザーに昇格された特権を必要とする自動化ワークフローを実行させる場合があるとします。このシナリオでは、昇格された特権を持つサービスロールを作成して、このユーザーにワークフローの実行を許可できます。

  • 自動化ワークフローを実行するステートマネージャーの関連付けを作成する場合。

  • 実行時間が 12 時間を超えると予想されるオペレーションがある場合。

  • aws:executeScript アクションを使用して AWS API オペレーションを呼び出したり、AWS リソースを操作する Amazon が所有していないオートメーションドキュメントを実行している場合。詳細については、オートメーション実行のアクセス許可 を参照してください。

自動化のためのサービスロールを作成する必要がある場合、次のいずれかのメソッドを使用できます。