クロスアカウント調査

クロスアカウントアクセス用のモニタリングアカウントをセットアップする

1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

2. 左のナビゲーションペインで、[AI Operations]、[設定] を選択します。

3. [クロスアカウントアクセスの設定] で、[設定] を選択します。

4. 最大 25 個のアカウントのアカウント ID を [ソースアカウントを一覧表示] セクションに追加します。

5. IAM ロールを更新します。

   1. 自動的に

      • [アシスタントロールを自動的に更新する] (推奨) を選択した場合、指定したソースアカウントロールを引き受けるための sts:AssumeRole ステートメントを含む AIOpsAssistantCrossAccountPolicy-${guid} という名前のカスタマー管理ポリシーが作成されます。自動更新オプションを選択すると、ソースアカウントの IAM ロール名がデフォルトで AIOps-CrossAccountInvestigationRole になります。

        {
            "Version": "2012-10-17",
            "Statement": {
                    "Effect": "Allow",
                    "Action": "sts:AssumeRole",
                    "Resource": [
                    "arn:aws:iam::777777777777:role/AIOps-CrossAccountInvestigationRole"
                    "arn:aws:iam::555555555555:role/AIOps-CrossAccountInvestigationRole"
                    "arn:aws:iam::666666666666:role/AIOps-CrossAccountInvestigationRole"
                    ]
            }
        }

      • モニタリングアカウントの所有者がクロスアカウント設定からソースアカウントを削除した場合、IAM ポリシーは自動的に更新されません。常に最小限のアクセス許可が付与されるように、IAM ロールとポリシーを手動で更新する必要があります。

      • ソースアカウントの削除時にアクセス許可が手動で更新されなかった場合、ロールあたりの管理ポリシー数の上限に達する可能性があります。調査ロールにアタッチされている未使用の管理ポリシーをすべて削除する必要があります。

   2. 手動

      • 以下は、アシスタントロールの信頼ポリシーの例です。詳細については、「入門」を参照してください。

        {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Effect": "Allow",
                    "Resource": {
                        "Service": "aiops.amazonaws.com"
                    },
                    "Action": "sts:AssumeRole",
                    "Condition": {
                        "StringEquals": {
                            "aws:SourceAccount": "123456789012"
                        },
                        "ArnLike": {
                            "aws:SourceArn": "arn:aws:aiops:us-east-1:123456789012:investigation-group/*"
                        }
                    }
                }
            ]
        }

        クロスアカウントアクセスを許可するには、モニタリングアカウントの調査ロールのアクセス許可ポリシーに以下が含まれている必要があります。モニタリングアカウントを手動で設定する場合、ロール名は任意の名前にすることができます。デフォルトで AIOps-CrossAccountInvestigationRole にはなりません

        {
            "Version": "2012-10-17",
            "Statement": {
                    "Effect": "Allow",
                    "Action": "sts:AssumeRole",
                    "Resource": [
                    "arn:aws:iam::777777777777:role/source_role_name_1"
                    "arn:aws:iam::555555555555:role/source_role_name_2"
                    "arn:aws:iam::666666666666:role/source_role_name_3"
                    ]
            }
        }

1. [アシスタントロールを自動的に更新する] オプションを選択してモニタリングアカウントを設定した場合は、AIOps-CrossAccountInvestigationRole という名前の IAM ロールをプロビジョニングします。手動セットアップオプションを使用した場合は、カスタマイズされたソースアカウントのロール名を持つ IAM ロールをプロビジョニングします。

   1. IAM コンソールで、AWS 管理ポリシー AIOpsAssistantPolicy をロールにアタッチします。

   2. ソースアカウントのロールの信頼ポリシーは次のようになります。ExternalID はポリシーで指定する必要があります。モニタリングアカウント調査グループ ARN を使用します。

      {
          "Version": "2012-10-17",
          "Statement": [
              {
                  "Effect": "Allow",
                  "Principal": {
                      "AWS": "arn:aws:iam::123456789012:role/investigation-role-name"
                  },
                  "Action": "sts:AssumeRole",
                  "Condition": {
                      "StringEquals": {
                          "sts:ExternalId": "investigation-group-arn"
                  }
              }
          }
      ]

2. これは、各ソースアカウントで実行する必要があります。

3. コンソールを使用してモニタリングアカウントロールを設定すると、ソースアカウントのロール名はデフォルトで AIOps-CrossAccountInvestionRole になります。

4. モニタリングアカウントにログインし、[調査グループ]、[設定] の順に移動して、[クロスアカウント設定] を選択してアクセスを確認します。

   ソースアカウントがクロスアカウント設定に表示され、ステータスが [モニタリングアカウントにリンク済み] になっていることを確認します。