メンテナンスウィンドウへのアクセスの制御
アカウントのユーザーがメンテナンスウィンドウタスクの作成とスケジュールを行う前に、必要なアクセス許可が付与されている必要があります。ユーザーにこれらのアクセス権限を付与するには、管理者は以下の 2 つのタスクを実行する必要があります。
タスク 1: インスタンスのアクセス権限を設定する
次のいずれかを実行して、AWS Identity and Access Management (IAM) アクセス許可で メンテナンスウィンドウ サービスを提供するには、インスタンスでメンテナンスウィンドウタスクを実行する必要があります。
-
メンテナンスウィンドウタスク用にカスタムサービスロールを作成する
-
Systems Manager サービスにリンクされたロールを作成する
メンテナンスウィンドウタスクを作成するときに、これらのロールのいずれかを設定の一部として指定します。これにより、Systems Manager はお客様に代わってメンテナンスウィンドウのタスクを実行できます。
Systems Manager に対するサービスにリンクされたロールがアカウント内にすでに作成されていることがあります。現在、サービスにリンクされたロールにはインベントリ機能のアクセス権限も用意されています。
カスタムサービスロールまたは Systems Manager サービスにリンクされたロールをメンテナンスウィンドウタスクで使用するかどうかを決定するには、「サービスにリンクされたロール、またはカスタムサービスロールを使用してメンテナンスウィンドウタスクを実行しますか?」を参照してください。
タスク 2: ユーザーのアクセス権限を設定する
メンテナンスウィンドウにタスクを割り当てるアカウントのユーザーに iam:PassRole アクセス許可を付与します。これにより、メンテナンスウィンドウサービスにロールを渡すことができます。この明示的なアクセス権限がない場合、ユーザーはメンテナンスウィンドウにタスクを割り当てることはできません。
開始する前に
セクションのタスクを完了するには、次のリソースのいずれかまたは両方が必要です。
-
IAM ユーザーまたはグループにアクセス許可を割り当てます。これらのユーザーまたはグループには、メンテナンスウィンドウを操作するための一般的なアクセス許可が既に付与されている必要があります。これは、ユーザーまたはグループに IAM ポリシー
AmazonSSMFullAccessを割り当てるか、メンテナンスウィンドウのタスクを対象とする Systems Manager のアクセス許可の小さいセットを提供する IAM ポリシーを作成して割り当てることによって実行できます。詳細については、「ユーザーグループを作成する」および「ユーザーを作成してアクセス許可を割り当てる」を参照してください。 -
(オプション) Run Command タスクを実行するメンテナンスウィンドウでは、Amazon Simple Notification Service (Amazon SNS) ステータス通知を送信するように選択できます。SNS 通知の送信に使用する IAM ロールの作成に関する情報など、Systems Manager の Amazon SNS 通知設定の詳細については、「Amazon SNS 通知を使用した Systems Manager ステータス変更のモニタリング」を参照してください。
サービスにリンクされたロール、またはカスタムサービスロールを使用してメンテナンスウィンドウタスクを実行しますか?
ターゲットインスタンスのメンテナンスタスクを実行するには、メンテナンスウィンドウ サービスが、インスタンスのタスクにアクセスし実行するためのアクセス権限を持っている必要があります。Systems Manager サービスにリンクされたロール、またはカスタムサービスロールをタスク設定の一部として指定することにより、このアクセス許可を利用できます。
選択するロールのタイプは、次の要素によって異なります。
カスタムサービスロール: 次の場合にメンテナンスウィンドウタスクのカスタムサービスロールを使用します。
-
サービスにリンクされたロールの場合よりも、制限されたアクセス権限セットを使用することを希望する場合。このサービスにリンクされたロールでは、非常に限定されたリソースレベルの制約をサポートしています。たとえば、インスタンスの制限されたセットで実行するメンテナンスウィンドウタスクを許可する、またはターゲットインスタンスで特定の SSM ドキュメントのみの実行を許可する場合を考えます。これらの場合は、カスタムサービスロールに厳格なアクセス許可を指定します。
-
サービスにリンクされたロールの場合よりも、制限または拡張されたアクセス許可セットを使用する必要がある場合。オートメーションドキュメントの一部のアクションには、拡張されたアクセス許可が必要です。
たとえば、一部のオートメーションアクションは AWS CloudFormation スタックと連携します。そのため、
cloudformation:CreateStack、cloudformation:DescribeStack、およびcloudformation:DeleteStackのアクセス許可が必要です。その他の例: オートメーションドキュメント
AWS-CopySnapshotでは、Amazon Elastic Block Store (Amazon EBS) スナップショットを作成するためのアクセス許可が必要です。そのため、アクセス許可ec2:CreateSnapshotがサービスロールに必要です。このアクセス許可は、Systems Manager のサービスリンクのロールには含まれていません。オートメーションドキュメントで必要なロールのアクセス許可については、Systems Manager オートメーションドキュメントの詳細リファレンス のドキュメントの説明を参照してください。
Systems Manager サービスにリンクされたロール: それ以外の場合では Systems Manager でサービスにリンクされたロールを使用することをお勧めします。
Systems Manager サービスにリンクされたロールの詳細については、「Systems Manager のサービスにリンクされたロールの使用」を参照してください。
トピック
