翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWSSupport-GrantPermissionsToIAMUser
説明
このランブックは、指定されたアクセス許可を IAM グループ (新規または既存) に付与し、既存の IAM ユーザーを追加します。選択できるポリシー: 請求
重要
既存の IAM グループを提供する場合、グループ内のすべての現行 IAM ユーザーは新しいアクセス権限を受け取ります。
ドキュメントタイプ
Automation
[所有者]
Amazon
[Platforms] (プラットフォーム)
Linux、macOS、Windows
パラメータ
-
AutomationAssumeRole
タイプ: 文字列
説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。
-
IAMGroupName
タイプ: 文字列
デフォルト: ExampleSupportAndBillingGroup
説明: (必須) 新規または既存のグループにすることができます。IAM エンティティの名前の制限に準拠する必要があります。
-
IAMUserName
タイプ: 文字列
デフォルト: ExampleUser
説明: (必須) 既存のユーザーである必要があります。
-
LambdaAssumeRole
タイプ: 文字列
説明: (オプション) Lambda によって引き受けられたロールの ARN。
-
アクセス許可
タイプ: 文字列
有効な値: SupportFullAccess | BillingFullAccess | SupportAndBillingFullAccess
デフォルト: SupportAndBillingFullAccess
説明: (必須) 次のいずれかを選択します。
SupportFullAccessはサポートセンターへのフルアクセスを許可します。BillingFullAccessは請求ダッシュボードへのフルアクセスを許可します。SupportAndBillingFullAccessはサポートセンターと請求ダッシュボードの両方へのフルアクセスを許可します。ドキュメント詳細のポリシーに関する詳細。
必要な IAM アクセス許可
AutomationAssumeRole パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。
必要なアクセス許可は、AWSSupport-GrantPermissionsToIAMUser の実行方法によって異なります。
現在ログインしているユーザーまたはロールとして実行
AmazonSSMAutomationRole Amazon 管理ポリシーを添付し、Lambda 関数と IAM ロールを作成して Lambda に渡すための以下の追加のアクセス権限を有効にすることをお勧めします。
{ "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" }, { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] }
AutomationAssumeRole および LambdaAssumeRole の使用
ユーザーは、ランブックに対する ssm:StartAutomationExecution アクセス権限と AutomationAssumeRole および LambdaAssumeRole として渡された IAM ロールの iam:PassRole を保持している必要があります。各 IAM ロールに必要なアクセス権限を次に示します。
AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] }
LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] }
ドキュメントステップ
-
aws:createStack- AWS CloudFormation テンプレートを実行して Lambda 関数を作成します。 -
aws:invokeLambdaFunction- Lambda を実行して IAM アクセス許可を設定します。 -
aws:deleteStack- CloudFormation テンプレートを削除します。
出力
configureIAM.Payload
