翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-GrantPermissionsToIAMUser
説明
このランブックは、指定されたアクセス許可をIAMグループ (新規または既存) に付与し、既存のIAMユーザーを追加します。選択できるポリシー: 請求
重要
既存のIAMグループを指定すると、グループ内のすべての現在のIAMユーザーが新しいアクセス許可を受け取ります。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS, Windows
パラメータ
-
AutomationAssumeRole
型: 文字列
説明: (オプション) Systems Manager Automation が AWS Identity and Access Management ユーザーに代わってアクションを実行できるようにする () ロールARNの Amazon リソースネーム (IAM)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
IAMGroupName
型: 文字列
デフォルト: ExampleSupportAndBillingGroup
説明: (必須) 新規または既存のグループにすることができます。IAM エンティティ名の制限 に準拠する必要があります。
-
IAMUserName
型: 文字列
デフォルト: ExampleUser
説明: (必須) 既存のユーザーである必要があります。
-
LambdaAssumeRole
型: 文字列
説明: (オプション) lambda によって引き受けられるロールARNの 。
-
アクセス許可
型: 文字列
有効な値: SupportFullAccess | BillingFullAccess | SupportAndBillingFullAccess
デフォルト: SupportAndBillingFullAccess
説明: (必須) 次のいずれかを選択します。
SupportFullAccessはサポートセンターへのフルアクセスを許可します。BillingFullAccessは請求ダッシュボードへのフルアクセスを許可します。SupportAndBillingFullAccessはサポートセンターと請求ダッシュボードの両方へのフルアクセスを許可します。ドキュメント詳細のポリシーに関する詳細。
必要なIAMアクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
必要なアクセス許可は、AWSSupport-GrantPermissionsToIAMUser の実行方法によって異なります。
現在ログインしているユーザーまたはロールとして実行
AmazonSSMAutomationRole Amazon マネージドポリシーをアタッチし、Lambda 関数と Lambda に渡すIAMロールを作成できるようにするには、次の追加のアクセス許可を付与することをお勧めします。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" }, { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] }
AutomationAssumeRole と の使用 LambdaAssumeRole
ユーザーには、ランブックに対する ssm:StartAutomationExecution アクセス許可と、 AutomationAssumeRole および として渡されたIAMロールに対する iam:PassRole LambdaAssumeRole アクセス許可が必要です。以下は、各IAMロールに必要なアクセス許可です。
AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] }
LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] }
ドキュメントステップ
-
aws:createStack- AWS CloudFormation テンプレートを実行して Lambda 関数を作成します。 -
aws:invokeLambdaFunction- Lambda を実行してIAMアクセス許可を設定します。 -
aws:deleteStack- CloudFormation テンプレートを削除します。
[Outputs] (出力)
IAM.Payload を設定する
