AWS Systems Manager
ユーザーガイド

メンテナンスウィンドウへのアクセスの制御

アカウントのユーザーがメンテナンスウィンドウタスクの作成とスケジュールを行う前に、必要なアクセス許可が付与されている必要があります。ユーザーにこれらのアクセス権限を付与するには、管理者は以下の 2 つのタスクを実行する必要があります。

タスク 1: インスタンスのアクセス権限を設定する

次のいずれかを実行して、AWS Identity and Access Management (IAM) アクセス許可で メンテナンスウィンドウ サービスを提供するには、インスタンスでメンテナンスウィンドウタスクを実行する必要があります。

  • メンテナンスウィンドウタスク用にカスタムサービスロールを作成する

  • Systems Manager サービスにリンクされたロールを作成する

メンテナンスウィンドウタスクを作成するときに、これらのロールのいずれかを設定の一部として指定します。これにより、Systems Manager はお客様に代わってメンテナンスウィンドウのタスクを実行できます。

注記

Systems Manager に対するサービスにリンクされたロールがアカウント内にすでに作成されていることがあります。現在、サービスにリンクされたロールにはインベントリ機能のアクセス権限も用意されています。

カスタムサービスロールまたは Systems Manager サービスにリンクされたロールをメンテナンスウィンドウタスクで使用するかどうかを決定するには、「サービスにリンクされたロール、またはカスタムサービスロールを使用してメンテナンスウィンドウタスクを実行しますか?」を参照してください。

タスク 2: ユーザーのアクセス権限を設定する

メンテナンスウィンドウにタスクを割り当てるアカウントのユーザーに iam:PassRole アクセス許可を付与します。これにより、メンテナンスウィンドウサービスにロールを渡すことができます。この明示的なアクセス権限がない場合、ユーザーはメンテナンスウィンドウにタスクを割り当てることはできません。

サービスにリンクされたロール、またはカスタムサービスロールを使用してメンテナンスウィンドウタスクを実行しますか?

ターゲットインスタンスのメンテナンスタスクを実行するには、メンテナンスウィンドウ サービスが、インスタンスのタスクにアクセスし実行するためのアクセス権限を持っている必要があります。Systems Manager サービスにリンクされたロール、またはカスタムサービスロールをタスク設定の一部として指定することにより、このアクセス許可を利用できます。

選択するロールのタイプは、次の要素によって異なります。

カスタムサービスロール: 次の場合にメンテナンスウィンドウタスクのカスタムサービスロールを使用します。

  • Run Command で実行されるメンテナンスウィンドウタスクに関する通知を Amazon Simple Notification Service (Amazon SNS) を使用して送信を希望する場合。メンテナンスウィンドウタスクを作成するときに、SNS 通知を有効にすることができます。

  • サービスにリンクされたロールの場合よりも、制限されたアクセス権限セットを使用することを希望する場合。このサービスにリンクされたロールでは、非常に限定されたリソースレベルの制約をサポートしています。たとえば、インスタンスの制限されたセットで実行するメンテナンスウィンドウタスクを許可する、またはターゲットインスタンスで特定の SSM ドキュメントのみの実行を許可する場合を考えます。これらの場合は、カスタムサービスロールに厳格なアクセス許可を指定します。

  • サービスにリンクされたロールの場合よりも、制限または拡張されたアクセス許可セットを使用する必要がある場合。オートメーションドキュメントの一部のアクションには、拡張されたアクセス許可が必要です。

    たとえば、一部のオートメーションアクションは AWS CloudFormation スタックと連携します。そのため、cloudformation:CreateStackcloudformation:DescribeStack、および cloudformation:DeleteStack のアクセス許可が必要です。

    その他の例: オートメーションドキュメント AWS-CopySnapshot では、Amazon Elastic Block Store (Amazon EBS) スナップショットを作成するためのアクセス許可が必要です。そのため、アクセス許可 ec2:CreateSnapshot がサービスロールに必要です。このアクセス許可は、Systems Manager のサービスリンクのロールには含まれていません。

    オートメーションドキュメントで必要なロールのアクセス許可については、Systems Manager Automation ドキュメントの詳細リファレンス のドキュメントの説明を参照してください。

Systems Manager サービスにリンクされたロール: それ以外の場合では Systems Manager でサービスにリンクされたロールを使用することをお勧めします。

Systems Manager サービスにリンクされたロールの詳細については、「Systems Manager のサービスにリンクされたロールのアクセス許可」を参照してください。