翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
コンソールを使用して、メンテナンスウィンドウのアクセス許可を設定します。
以下の手順では、AWS Systems Manager コンソールを使用して、メンテナンスウィンドウに必要なロールとアクセス許可を作成する方法を説明します。
トピック
タスク 1: カスタムメンテナンスウィンドウのサービスロール用にポリシーを作成する
次のポリシーを JSON 形式で使用して、メンテナンスウィンドウのロールで使用するポリシーを作成できます。後ほど タスク 2: メンテナンスウィンドウのカスタムサービスロールを作成する (コンソール) に作成するロールに、このポリシーをアタッチします。
重要
メンテナンスウィンドウで実行するタスクおよびタスクのタイプによっては、このポリシーのすべてのアクセス許可が必要ではなく、追加のアクセス許可を含める必要がある場合があります。
カスタムメンテナンスウィンドウのサービスロール用にポリシーを作成するには
https://console.aws.amazon.com/iam/
で IAM コンソール を開きます。 -
ナビゲーションペインで、Policies を選択し、Create Policy を選択します。
-
[JSON] タブを選択します。
-
デフォルトのコンテンツを以下と置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:SendCommand", "ssm:CancelCommand", "ssm:ListCommands", "ssm:ListCommandInvocations", "ssm:GetCommandInvocation", "ssm:GetAutomationExecution", "ssm:StartAutomationExecution", "ssm:ListTagsForResource", "ssm:GetParameters" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "states:DescribeExecution", "states:StartExecution" ], "Resource": [ "arn:aws:states:*:*:execution:*:*", "arn:aws:states:*:*:stateMachine:*" ] }, { "Effect": "Allow", "Action": [ "lambda:InvokeFunction" ], "Resource": [ "arn:aws:lambda:*:*:function:*" ] }, { "Effect": "Allow", "Action": [ "resource-groups:ListGroups", "resource-groups:ListGroupResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": [ "tag:GetResources" ], "Resource": [ "*" ] }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "*", "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com" ] } } } ] } -
必要に応じて、アカウントで実行するメンテナンスタスクの JSON コンテンツを変更します。変更した内容は、ユーザーが計画したオペレーションに固有のものです。
例:
-
ワイルドカード (*) 修飾子を使用する代わりに、特定の関数およびステートマシンに Amazon リソースネーム (ARN) を指定できます。
-
AWS Step Functions タスクを実行する予定がない場合は、
statesのアクセス許可と (ARN) を削除できます。 -
AWS Lambda タスクを実行する予定がない場合は、
lambdaのアクセス許可と ARN を削除できます。 -
オートメーションタスクを実行する予定がない場合は、
ssm:GetAutomationExecutionおよびssm:StartAutomationExecutionのアクセス許可を削除できます。 -
タスクの実行に必要な追加のアクセス許可を追加します。たとえば、一部のオートメーションアクションは AWS CloudFormation スタックと連携します。そのため、
cloudformation:CreateStack、cloudformation:DescribeStacks、およびcloudformation:DeleteStackのアクセス許可が必要です。別の例: オートメーションランブックの
AWS-CopySnapshotでは、Amazon Elastic Block Store (Amazon EBS) スナップショットを作成するためのアクセス許可が必要です。このため、サービスロールに許可ec2:CreateSnapshotが必要です。オートメーションランブックで必要なロールの許可については、「AWS Systems Manager オートメーションランブックレファレンス」にあるランブックの説明を参照してください。
-
-
ポリシーのリビジョンを完了したら、[Next: Tags] (次へ: タグ) をクリックします。
-
(オプション) 1 つ以上のタグ/値ペアを追加して、このポリシーのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。
-
[Name] (名前) に、作成した Maintenance Windows のサービスロールが使用するポリシーとして識別する名前を入力します。例:
my-maintenance-window-role-policy。 -
[Create policy] (ポリシーの作成) を選択し、ポリシーに指定した名前をメモします。次の手順、「タスク 2: メンテナンスウィンドウのカスタムサービスロールを作成する (コンソール)」で参照します。
タスク 2: メンテナンスウィンドウのカスタムサービスロールを作成する (コンソール)
以下の手順を使用して、Systems Manager がユーザーに代わって Maintenance Windows タスクを実行するための Maintenance Windows のカスタムサービスロールを作成します。このタスクでは、前のタスクで作成したポリシーを、作成したカスタムサービスロールにアタッチします。
重要
以前は、Systems Manager コンソールが、AWS マネージド IAM サービスリンクロール AWSServiceRoleForAmazonSSM を選択して、タスクのメンテナンスロールとして使用する機能を提供していました。メンテナンスウィンドウのタスクにおける、このロールとそれに関連するポリシーである AmazonSSMServiceRolePolicy の使用は推奨されなくなりました。このロールをメンテナンスウィンドウのタスクに使用している場合は、使用を中止することをお勧めします。代わりに、メンテナンスウィンドウのタスクが実行されたときに、Systems Manager と他の AWS のサービス間の通信を可能にする独自の IAM ロールを作成します。
カスタムサービスロールを作成するには (コンソール)
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで [Roles] (ロール) を選択してから、[Create role] (ロールを作成する) を選択します。
-
[Select trusted entity] (信頼できるエンティティを選択) で、次のように選択します。
-
[Trusted entity type] (信頼できるエンティティタイプ) で、[AWS service] ( のサービス) を選択します。
-
[Use cases for other AWS services] で、[Systems Manager] を選択します。
-
以下のイメージに示されている、[Systems Manager] を選択します。
-
-
[Next] (次へ) をクリックします。
-
検索ボックスに タスク 1: カスタムメンテナンスウィンドウのサービスロール用にポリシーを作成する で作成したポリシー名を入力します。名前の横にあるチェックボックスをオンにして、[Next] (次へ) を選択します。
-
[Role name] (ロール名) に、このロールが Maintenance Windows ロールであることを識別できる名前を入力します。例:
my-maintenance-window-role。 -
(オプション) デフォルトのロールの説明を変更して、このロールの目的を反映させます。例:
Performs maintenance window tasks on your behalf。 -
(オプション) 1 つ以上のタグ/値ペアを追加して、このロールのアクセスを整理、追跡、または制御し、[次へ: 確認] を選択します。
-
[Create role] (ロールの作成) を選択します。[Roles] (ロール) ページが再度表示されます。
-
作成したロールの名前を選択します。
-
[Trust relationships] (信頼関係) タブをクリックし、次のポリシーが [Trusted entities] (信頼できるエンティティ) に表示されていることを確認します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] } -
[Summary] (概要) エリアのロール名と [ARN] をコピーするか、書き留めます。アカウントのユーザーは、メンテナンスウィンドウを作成するときにこの情報を指定します。
タスク 3: メンテナンスウィンドウのタスクの登録を許可されたユーザーの、アクセス許可を設定する (コンソール)
メンテナンスウィンドウにタスクを登録する場合、実際のタスクオペレーションを実行するためのカスタムサービスロールまたは Systems Manager サービスにリンクされたロールを指定します。これは、サービスがユーザーに代わってタスクを実行するときに引き受けるロールです。その前に、タスク自体を登録するには、IAM PassRole ポリシーを IAM エンティティ (ユーザーまたはグループ) に割り当てます。これにより、これらのタスクをメンテナンスウィンドウに登録する一部としてタスクの実行時に使用するロールを指定することを IAM エンティティ (ユーザーまたはグループ) に許可します。詳細については、IAM ユーザーガイドの「AWS のサービスにロールを渡すアクセス権限をユーザーに付与する」を参照してください。
メンテナンスウィンドウタスクの登録を許可されているユーザーのアクセス許可を設定するには
IAM エンティティ (ユーザー、ロール、またはグループ) に管理者権限が設定されている場合、ユーザーまたはロールはメンテナンスウィンドウにアクセスできます。管理者権限のない IAM エンティティの場合、管理者は IAM エンティティに次の権限を付与する必要があります。タスクをメンテナンスウィンドウに登録するために必要な最低限の権限です。
-
AmazonSSMFullAccessマネージドポリシー、または同等のアクセス許可を付与するポリシー。 -
次の
iam:PassRoleおよびiam:ListRolesのアクセス許可。{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/" } ] }my-maintenance-window-roleは、前に作成したカスタムメンテナンスウィンドウロールの名前を表します。account-idは、AWS アカウント の ID を表します。リソースarn:aws:iam::に対してこのアクセス許可を追加すると、ユーザーはメンテナンスウィンドウタスクを作成するときに、コンソールでカスタマーロールを表示および選択できます。account-id:role/arn:aws:iam::に対してこのアクセス許可を追加すると、ユーザーはメンテナンスウィンドウタスクを作成するときに、コンソールで Systems Manager サービスにリンクされたロールを選択できます。account-id:role/aws-service-role/ssm.amazonaws.com/アクセスを提供するには、ユーザー、グループ、またはロールにアクセス許可を追加します。
-
AWS IAM Identity Center のユーザーとグループ:
アクセス許可セットを作成します。「AWS IAM Identity Center ユーザーガイド」の「シークレットの作成と管理」の手順に従ってください。
-
ID プロバイダーを通じて IAM で管理されているユーザー:
ID フェデレーションのロールを作成する。詳細については、「IAM ユーザーガイド」の「サードパーティー ID プロバイダー (フェデレーション) 用のロールの作成」を参照してください。
-
IAM ユーザー:
-
ユーザーが設定できるロールを作成します。手順については、「IAM ユーザーガイド」の「IAM ユーザー用ロールの作成」を参照してください。
-
(非推奨) ポリシーをユーザーに直接アタッチするか、ユーザーをユーザーグループに追加します。「IAM ユーザーガイド」の「ユーザー (コンソール) へのアクセス許可の追加」の指示に従います。
-
-
メンテナンスウィンドウタスクの登録を許可するグループのアクセス許可を設定するには (コンソール)
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[User groups] を選択します。
-
グループのリストで、
iam:PassRoleアクセス許可を割り当てる先のグループの名前を選択します。 -
[Permissions] (アクセス許可) タブで [Add permissions, Create inline policy] (アクセス許可の追加、インラインポリシーの作成) をクリックしてから [JSON] タブを選択します。
-
デフォルトのボックスの内容を以下に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:PassRole", "Resource": "arn:aws:iam::account-id:role/my-maintenance-window-role" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/" }, { "Effect": "Allow", "Action": "iam:ListRoles", "Resource": "arn:aws:iam::account-id:role/aws-service-role/ssm.amazonaws.com/" } ] }my-maintenance-window-roleは、前に作成したカスタムメンテナンスウィンドウロールの名前を表します。account-idは、AWS アカウント の ID を表します。リソースarn:aws:iam::に対してこのアクセス許可を追加すると、ユーザーはメンテナンスウィンドウタスクを作成するときに、コンソールでカスタマーロールを表示および選択できます。account-id:role/arn:aws:iam::に対してこのアクセス許可を追加すると、ユーザーはメンテナンスウィンドウタスクを作成するときに、コンソールで Systems Manager サービスにリンクされたロールを選択できます。account-id:role/aws-service-role/ssm.amazonaws.com/ -
[ポリシーの確認] を選択します。
-
[ポリシーの確認] ページで、この
PassRoleポリシーを識別するための名前を [名前] ボックスに入力し (my-group-iam-passrole-policyなど)、[ポリシーの作成] を選択します。
タスク 4: メンテナンスウィンドウタスクの登録を許可されていないユーザーのアクセス許可を設定する
個別のユーザーまたはグループに ssm:RegisterTaskWithMaintenanceWindow アクセス許可を拒否するかどうかに応じ、以下の手順のいずれかを使用して、ユーザーがメンテナンスウィンドウにタスクを登録できないようにします。
メンテナンスウィンドウタスクの登録を許可されていないユーザーのアクセス許可を設定するには
-
管理者は IAM エンティティに次の制限を追加する必要があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:RegisterTaskWithMaintenanceWindow", "Resource": "*" } ] }
メンテナンスウィンドウタスクの登録を許可されていないグループのアクセス許可を設定するには (コンソール)
IAM コンソール (https://console.aws.amazon.com/iam/
) を開きます。 -
ナビゲーションペインで、[User groups] を選択します。
-
グループのリストで、
ssm:RegisterTaskWithMaintenanceWindowアクセス許可を拒否する元のグループの名前を選択します。 -
[Permissions] (アクセス許可) タブで、[Add permissions, Create inline policy] (アクセス許可の追加、インラインポリシーの作成) をクリックします。
-
[JSON] タブを選択し、ボックスのデフォルトの内容を以下に置き換えます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Deny", "Action": "ssm:RegisterTaskWithMaintenanceWindow", "Resource": "*" } ] } -
[ポリシーの確認] を選択します。
-
[ポリシーの確認] ページの [名前] ボックスに、このポリシーを識別するための名前を入力し (
my-groups-deny-mw-tasks-policyなど)、[ポリシーの作成] を選択します。
