IAM アクセス許可の変更の詳細 - AMS Accelerate ユーザーガイド

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

IAM アクセス許可の変更の詳細

各マネージドインスタンスには、次の管理ポリシーを含む AWS Identity and Access Management ロールが必要です。

  • arn:aws:iam::aws:policy/AmazonSSMManagedInstanceCore

  • arn:aws:iam::aws:policy/CloudWatchAgentServerPolicy

  • arn:aws:iam::aws:policy/AMSInstanceProfileBasePolicy

最初の 2 つは AWS管理ポリシーです。AMS 管理ポリシーは次のとおりです。

AMSInstanceProfileBasePolicy

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": [
                "secretsmanager:CreateSecret",
                "secretsmanager:UpdateSecret"
            ],
            "Resource": [
                "arn:aws:secretsmanager:*:*:secret:/ams/byoa/*"
            ],
            "Effect": "Allow"
        },
        {
            "Action": [
                "kms:Encrypt"
            ],
            "Resource": [
                "*"
            ],
            "Effect": "Allow"
        }
    ]
}

インスタンスに既に IAM ロールがアタッチされているが、これらのポリシーのいずれかが欠落している場合、AMS は欠落しているポリシーを IAM ロールに追加します。インスタンスに IAM ロールがない場合、AMS は AMSOSConfigurationCustomerInstanceProfile IAM ロールをアタッチします。AMSOSConfigurationCustomerInstanceProfile IAM ロールには、AMS Accelerate に必要なすべてのポリシーがあります。

注記

デフォルトのインスタンスプロファイル制限である 10 に達すると、AMS は制限を 20 に引き上げて、必要なインスタンスプロファイルをアタッチできるようにします。