StackSet を使用して IAM ロールをデプロイする
StackSet で IAM ロールをデプロイするための前提条件
-
アクティブな AWS Security Incident Response メンバーシップが必要です。
-
AWS CloudFormation StackSets と AWS Organizations の間で信頼されたアクセスが有効になっている必要があります。詳細については、「AWS CloudFormation ユーザーガイド」の「で信頼されたアクセスを有効にするAWS Organizations」を参照してください。
-
AWS Organizations 管理アカウントまたは委任管理者アカウントに StackSets を作成するアクセス許可が必要です。
セキュリティインシデント対応の封じ込めロールの StackSet を作成する
次の手順を使用して、組織アカウントに封じ込めロールをデプロイするサービスマネージド型のアクセス許可を持つ StackSet を作成します。
-
AWS マネジメントコンソール にサインインして、AWS CloudFormation コンソール
を開きます。 -
ナビゲーションペインで [StackSets]、[StackSet を作成] の順に選択します。
-
[アクセス権限] で、[サービスマネージド型のアクセス許可] を選択します。
-
[テンプレートソース] で、[テンプレートファイルのアップロード] を選択します。封じ込めロールの CloudFormation テンプレートを選択する から選択したテンプレートファイルをアップロードします。
-
StackSet の名前 (例:
SIR-Containment-Roles) を入力し、オプションで説明を入力します。 -
[StackSet オプションの設定] ページで、デフォルト設定のままで [次へ] を選択します。
-
[デプロイターゲット] で、[組織へのデプロイ] を選択します。これにより、ロールが組織内のすべての現在および将来のアカウントにデプロイされます。
-
[リージョンの指定] で、AWS リージョン を 1 つ選択します。IAM ロールはグローバルリソースであるため、StackSet を 1 つのリージョンにデプロイするだけで済みます。
-
設定を確認し、AWS CloudFormation がカスタム名を使用して IAM リソースを作成する可能性があることについて同意する確認チェックボックスを選択します。[送信] を選択します。
StackSet のデプロイが完了すると、組織内のすべてのアカウントで封じ込めロールを使用できます。StackSets の管理の詳細については、[AWS CloudFormation ユーザーガイド」の「サービスマネージド型のアクセス許可を持つ StackSet を更新する」を参照してください。