Systems Manager のロールを引き受ける設定 - AWS Systems Manager
Systems Manager Quick Setup の継承ロールを作成するには:アクセス許可ポリシー

• AWS Systems Manager Change Manager は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。詳細については、「AWS Systems Manager Change Manager の可用性の変更」を参照してください。

 

• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「Amazon CloudWatch ダッシュボードのドキュメント」を参照してください。

Systems Manager のロールを引き受ける設定

Systems Manager Quick Setup の継承ロールを作成するには:

Systems Manager Quick Setup には、Systems Manager がアカウントでアクションを安全に実行できるロールが必要です。このロールは、ユーザーに代わってインスタンスでのコマンドの実行、および EC2 インスタンス、IAM ロール、その他の Systems Manager リソースを設定を行うために必要なアクセス許可を Systems Manager に付与します。

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択し、[ポリシーの作成] を選択します。

  3. 以下の JSON を使用して SsmOnboardingInlinePolicy ポリシーを追加します。(このポリシーは、インスタンスプロファイルを作成して EC2 インスタンスに関連付けるなど、指定したインスタンスにインスタンスプロファイルのアクセス許可をアタッチするために必要なアクションを有効にします)。

  4. 処理が完了したら、ナビゲーションペインで [ロール] を選択し、続いて [ロールを作成] を選択します。

  5. [信頼されたエンティティタイプ] は、デフォルト (サービス) のままにします。

  6. [ユースケース]で、[Systems Manager] を選択し、[次へ] を選択します。

  7. [許可を追加] ページで次の手順を実行します。

  8. SsmOnboardingInlinePolicy ポリシーを追加します。

  9. [次へ] を選択します。

  10. [ロール名] にわかりやすい名前 (AmazonSSMRoleForAutomationAssumeQuickSetup など) を入力します。

  11. (オプション) ロールの識別と整理に役立つタグを追加します。

  12. [ロールの作成] を選択してください。

重要

このロールには ssm.amazonaws.com との信頼関係を含める必要があります。これは、ステップ 4 でサービスとして Systems Manager を選択すると自動的に設定されます。

ロールを作成したら、Quick Setup を設定するときにそのロールを選択できます。このロールにより、Systems Manager は、特定の制限されたアクセス許可を通じてセキュリティを維持しながら、ユーザーに代わって EC2 インスタンス、IAM ロール、その他の Systems Manager リソースを管理してコマンドを実行できます。

アクセス許可ポリシー

SsmOnboardingInlinePolicy

次のポリシーは、Systems Manager Quick Setup のアクセス許可を定義します。

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateInstanceProfile",
                "iam:ListInstanceProfilesForRole",
                "ec2:DescribeIamInstanceProfileAssociations",
                "iam:GetInstanceProfile",
                "iam:AddRoleToInstanceProfile"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AssociateIamInstanceProfile"
            ],
            "Resource": "arn:aws:ec2:*:*:instance/*",
            "Condition": {
                "Null": {
                    "ec2:InstanceProfile": "true"
                },
                "ArnLike": {
                    "ec2:NewInstanceProfile": "arn:aws:iam::*:instance-profile/[INSTANCE_PROFILE_ROLE_NAME]"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "iam:PassRole",
            "Resource": "arn:aws:iam::*:role/[INSTANCE_PROFILE_ROLE_NAME]",
            "Condition": {
                "StringEquals": {
                    "iam:PassedToService": "ec2.amazonaws.com"
                }
            }
        }
    ]
        }
信頼関係

これは上記のステップによって自動的に追加されます。

{
    "Version": "2012-10-17" 		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "ssm.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
     ]
        }