このトピックの情報を利用して、Quick Setup を使用する際の準備に役立ててください。
Quick Setup オンボーディングのための IAM ロールと権限
Quick Setup が新しいコンソールエクスペリエンスと新しい API をリリースしました。今後は、コンソール、AWS CLI、AWS CloudFormation、および SDK を使用してこの API を操作できます。新しいエクスペリエンスをオプトインすると、新しい API を使用して既存の設定が再作成されます。アカウント内の既存の設定の数によっては、このプロセスに数分かかる場合があります。
新しい Quick Setup コンソールを使用するには、次のアクションについての許可が必要です:
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ssm-quicksetup:*",
"cloudformation:DescribeStackSetOperation",
"cloudformation:ListStacks",
"cloudformation:DescribeStacks",
"cloudformation:DescribeStackResources",
"cloudformation:ListStackSetOperations",
"cloudformation:ListStackInstances",
"cloudformation:DescribeStackSet",
"cloudformation:ListStackSets",
"cloudformation:DescribeStackInstance",
"cloudformation:DescribeOrganizationsAccess",
"cloudformation:ActivateOrganizationsAccess",
"cloudformation:GetTemplate",
"cloudformation:ListStackSetOperationResults",
"cloudformation:DescribeStackEvents",
"cloudformation:UntagResource",
"ec2:DescribeInstances",
"ssm:DescribeAutomationExecutions",
"ssm:GetAutomationExecution",
"ssm:ListAssociations",
"ssm:DescribeAssociation",
"ssm:GetDocument",
"ssm:ListDocuments",
"ssm:DescribeDocument",
"ssm:ListResourceDataSync",
"ssm:DescribePatchBaselines",
"ssm:GetPatchBaseline",
"ssm:DescribeMaintenanceWindows",
"ssm:DescribeMaintenanceWindowTasks",
"ssm:GetOpsSummary",
"organizations:DeregisterDelegatedAdministrator",
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListDelegatedAdministrators",
"organizations:ListRoots",
"organizations:ListParents",
"organizations:ListOrganizationalUnitsForParent",
"organizations:DescribeOrganizationalUnit",
"organizations:ListAWSServiceAccessForOrganization",
"s3:GetBucketLocation",
"s3:ListAllMyBuckets",
"s3:ListBucket",
"resource-groups:ListGroups",
"iam:ListRoles",
"iam:ListRolePolicies",
"iam:GetRole",
"iam:CreatePolicy",
"organizations:RegisterDelegatedAdministrator",
"organizations:EnableAWSServiceAccess",
"cloudformation:TagResource"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"cloudformation:RollbackStack",
"cloudformation:CreateStack",
"cloudformation:UpdateStack",
"cloudformation:DeleteStack"
],
"Resource": [
"arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stack/StackSet-SSMQuickSetup"
]
},
{
"Effect": "Allow",
"Action": [
"cloudformation:CreateStackSet",
"cloudformation:UpdateStackSet",
"cloudformation:DeleteStackSet",
"cloudformation:DeleteStackInstances",
"cloudformation:CreateStackInstances",
"cloudformation:StopStackSetOperation"
],
"Resource": [
"arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*",
"arn:aws:cloudformation:*:*:stackset/SSMQuickSetup",
"arn:aws:cloudformation:*:*:type/resource/*",
"arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRolePolicy",
"iam:PassRole",
"iam:PutRolePolicy"
],
"Resource": [
"arn:aws:iam::*:role/AWS-QuickSetup-*",
"arn:aws:iam::*:role/service-role/AWS-QuickSetup-*"
]
},
{
"Effect": "Allow",
"Action": [
"ssm:DeleteAssociation",
"ssm:CreateAssociation",
"ssm:StartAssociationsOnce"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ssm:StartAutomationExecution",
"Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*"
},
{
"Effect": "Allow",
"Action": [
"ssm:GetOpsSummary",
"ssm:CreateResourceDataSync",
"ssm:UpdateResourceDataSync"
],
"Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"accountdiscovery.ssm.amazonaws.com",
"ssm.amazonaws.com",
"ssm-quicksetup.amazonaws.com",
"stacksets.cloudformation.amazonaws.com"
]
}
},
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin"
}
]
}ユーザーを読み取り専用許可に制限するには、Quick Setup API のために ssm-quicksetup:List* および ssm-quicksetup:Get* オペレーションのみを許可します。
オンボーディング中、お客様の代わりに Quick Setup が AWS Identity and Access Management (IAM) ロールを作成します。
-
AWS-QuickSetup-LocalExecutionRole– パッチポリシーテンプレートを除く任意のテンプレートを使用し、必要なリソースを作成するための AWS CloudFormation 許可を付与します。 -
AWS-QuickSetup-LocalAdministrationRole– AWS CloudFormation にAWS-QuickSetup-LocalExecutionRoleを継承する許可を付与します。 -
AWS-QuickSetup-PatchPolicy-LocalExecutionRole– パッチポリシーテンプレートを使用し、必要なリソースを作成するための許可を AWS CloudFormation に付与します。 -
AWS-QuickSetup-PatchPolicy-LocalAdministrationRole– AWS CloudFormation にAWS-QuickSetup-PatchPolicy-LocalExecutionRoleを継承する許可を付与します。
管理アカウント (AWS Organizations で組織の作成に使用するアカウント) をオンボーディングする場合、Quick Setup はまた、ユーザーに代わって次のロールを作成します。
-
AWS-QuickSetup-SSM-RoleForEnablingExplorer–AWS-EnableExplorerオートメーションランブックに許可を付与します。AWS-EnableExplorerランブックは、複数の Explorer と AWS アカウントの情報を表示するように Systems Manager のツールである AWS リージョンを設定します。 -
AWSServiceRoleForAmazonSSM–サービスにリンクされたロールで、Systems Manager が管理、使用する AWS リソースへのアクセスを付与します。 -
AWSServiceRoleForAmazonSSM_AccountDiscovery– サービスにリンクされたロールで、データの同期時に AWS のサービスを呼び出して AWS アカウント 情報を検出できるようSystems Manager に許可を付与します。詳細については、「ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集」を参照してください。
管理アカウントのオンボーディング中、Quick Setup は、組織全体で Quick Setup をデプロイするために AWS Organizations と CloudFormation の間で安全なアクセスを有効にします。安全なアクセスを有効にするには、管理アカウントに管理者許可が必要です。オンボーディング後、管理者権限は不要になります。詳細については、「組織で安全なアクセスを有効にする」を参照してください。
AWS Organizations アカウントタイプの詳細については、「AWS Organizations ユーザーガイド」の「AWS Organizations Terminology and Concepts」(用語とコンセプト) を参照してください。
注記
Quick Setup は AWS CloudFormation StackSet を使用して、AWS アカウント およびリージョン全体で設定をデプロイします。ターゲットアカウントの数にリージョンの数を乗じて算出した数値が 10,000 を超える場合、設定のデプロイは失敗します。ユースケースを確認し、組織の成長に合わせて、より少ないターゲットを使用する設定を作成することをお勧めします。スタックインスタンスは、組織の管理アカウントにはデプロイされません。詳細については、「サービスマネージド型のアクセス許可を持つスタックセットを作成する際の考慮事項」を参照してください。
プログラム的に Quick Setup API を使用するための手動オンボーディング
Quick Setup での作業にコンソールを使用する場合は、サービスがユーザーに代わってオンボーディング手順を処理します。Quick Setup API を使用するために SDK または AWS CLI を使用する予定の場合でも、オンボーディング手順はコンソールを使用して完了できるため、この手順を手動で実行する必要はありません。しかし、コンソールを操作せずに Quick Setup のオンボーディング手順をプログラム的に完了する必要があるお客様もいます。この方法がユースケースに適している場合は、次のステップを完了する必要があります。これらのステップはすべて、AWS Organizations 管理アカウントから完了する必要があります。
Quick Setup の手動オンボーディングを完了する
-
Organizations を使用して、AWS CloudFormation の信頼されたアクセスをアクティブ化します。そうすることで、組織の StackSets を作成し管理するためのアクセス許可が管理アカウントに付与されます。このステップは、AWS CloudFormation の
ActivateOrganizationsAccessAPI アクションを使用して完了できます。詳細については、「AWS CloudFormation API Reference」の「ActivateOrganizationsAccess」を参照してください。 -
Organizations との Systems Manager の統合を有効にします。そうすることで、Systems Manager が組織内のすべてのアカウントでサービスにリンクされたロールを作成できるようになります。これは、Systems Manager が組織とそのアカウント内で、ユーザーに代わってオペレーションを実行することも可能にします。このステップは、AWS Organizations の
EnableAWSServiceAccessAPI アクションを使用して完了できます。Systems Manager のサービスプリンシパルはssm.amazonaws.comです。詳細については、「AWS Organizations API Reference」の「EnableAWSServiceAccess」を参照してください。 -
Explorer に必要な IAM ロールを作成します。そうすることで、Quick Setup が設定のダッシュボードを作成できるようになるため、デプロイと関連付けのステータスを表示することが可能になります。IAM ロールを作成して、
AWSSystemsManagerEnableExplorerExecutionPolicyマネージドポリシーをアタッチします。以下と一致するようにロールの信頼ポリシーを変更します。各account IDは、ユーザー自身の情報に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "ArnLike": { "aws:SourceArn": "arn:*:ssm:*:account ID:automation-execution/*" } } } ] } -
Explorer の Quick Setup サービス設定を更新します。このステップは、Quick Setup の
UpdateServiceSettingsAPI アクションを使用して完了できます。ExplorerEnablingRoleArnリクエストパラメータに、前のステップで作成した IAM ロールの ARN を指定します。詳細については、「Quick Setup API Reference」の「UpdateServiceSettings」を参照してください。 -
AWS CloudFormation StackSets が使用するための、必要な IAM ロールを作成します。これには、実行ロールと管理ロールを作成する必要があります。
-
実行ロールを作成する 実行ロールには、少なくとも
AWSQuickSetupDeploymentRolePolicyまたはAWSQuickSetupPatchPolicyDeploymentRolePolicy管理ポリシーのいずれかがアタッチされている必要があります。パッチポリシー設定のみを作成している場合は、AWSQuickSetupPatchPolicyDeploymentRolePolicyマネージドポリシーを使用できます。その他すべての設定には、AWSQuickSetupDeploymentRolePolicyポリシーを使用します。以下と一致するようにロールの信頼ポリシーを変更します。account IDとadministration role nameを、ユーザー自身の情報に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": "arn:aws:iam::account ID:role/administration role name" }, "Action": "sts:AssumeRole" } ] } -
管理ロールを作成します。許可ポリシーは、以下に一致している必要があります。
account IDとexecution role nameを、ユーザー自身の情報に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Resource": "arn:*:iam::account ID:role/execution role name", "Effect": "Allow" } ] }以下と一致するようにロールの信頼ポリシーを変更します。各
account IDは、ユーザー自身の情報に置き換えます。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudformation.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account ID" }, "StringLike": { "aws:SourceArn": "arn:aws:cloudformation:*:account ID:stackset/AWS-QuickSetup-*" } } } ] }
-
