組織の Change Manager の設定 (管理アカウント)
このトピックのタスクは、AWS Organizations で設定された組織で、AWS Systems Manager の一機能である Change Manager を使用している場合に適用されます。単一の AWS アカウント のみで Change Manager を使用する場合は、「Change Managerオプションとベストプラクティスの設定」トピックに進んでください。
Organizations の管理アカウントとして機能する AWS アカウント で、 内のこのセクションのタスクを実行します。管理アカウントおよびその他の Organizations の概念については、「AWS Organizations Organizations の用語と概念」を参照してください。
先に進む前に、Organizations を有効にし、お使いのアカウントを管理アカウントとして指定する必要がある場合は、AWS Organizations ユーザーガイドの「組織の作成と管理」を参照してください。
注記
以下の AWS リージョン ではこのセットアッププロセスを実行できません。
-
欧州 (ミラノ) (eu-south-1)
-
中東 (バーレーン) (me-south-1)
-
アフリカ (ケープタウン) (af-south-1)
-
アジアパシフィック (香港) (ap-east-1)
この手順では、確実に管理アカウントの別のリージョンで作業するようにしてください。
セットアップ手順では、AWS Systems Manager の一機能である Quick Setup で主に次のタスクを実行します。
-
タスク 1: 組織の委任管理者アカウントを登録する
Change Managerを使用して実行される変更関連のタスクは、メンバーアカウントの 1 つで管理されます。このアカウントは、委任管理者アカウントとして指定されるアカウントです。Change Manager に登録する委任管理者アカウントは、すべての Systems Manager 操作のための委任管理者アカウントになります。(他の AWS のサービスに対する委任管理者アカウントがある可能性があります)。Change Manager の管理者アカウント (管理アカウントとは異なります) は、変更テンプレート、変更リクエスト、およびそれぞれの承認を含めた、組織全体での変更アクティビティを管理します。委任管理者アカウントでは、Change Manager操作に対するその他の設定オプションも指定します。
重要
委任管理者アカウントは、Organizations でそれが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。
-
タスク 2: Change Manager操作に使用する変更依頼者ロール、またはカスタム職務機能に対するランブックアクセスポリシーを定義して指定する
Change Manager で変更リクエストを作成するには、メンバーアカウントのユーザーに AWS Identity and Access Management (IAM) アクセス許可を付与する必要があります。このアクセス許可により、ユーザーは、ユーザーが使用できるように選択したオートメーションランブックと変更テンプレートにのみアクセスできます。
注記
ユーザーが変更リクエストを作成するときは、まず変更テンプレートを選択します。この変更テンプレートでは複数のランブックを使用できますが、ユーザーは変更リクエストごとに 1 つのランブックしか選択できません。変更テンプレートは、ユーザーがリクエストに使用できるランブックを含めることができるように設定することもできます。
Change Manager は、必要な許可を付与するために職務機能という概念を使用します。この概念は IAM でも使用されています。IAM での職務機能の AWS 管理ポリシーとは異なり、ユーザーは Change Manager 職務機能の名前と、それらの職務機能に対する IAM アクセス許可の両方を指定します。
職務機能を設定するときは、カスタムポリシーを作成して、変更管理タスクの実行に必要な許可のみを提供することをお勧めします。例として、定義した職務機能に基づいて、特定のランブック一式にユーザーを制限する許可を指定できます。
例えば、
DBAdmin
という名前の職務機能を作成できます。この職務機能では、AWS-CreateDynamoDbBackup
やAWSConfigRemediation-DeleteDynamoDbTable
などの Amazon DynamoDB データベースに関連するランブックに必要なアクセス許可のみを付与できます。別の例として、
AWS-ConfigureS3BucketLogging
やAWSConfigRemediation-ConfigureS3BucketPublicAccessBlock
などの Amazon Simple Storage Service (Amazon S3) バケットに関連するランブックの使用に必要な許可のみを一部のユーザーに付与することもできます。Change Manager のための Quick Setup の設定プロセスは、作成する管理者ロールへの適用に利用できる完全な Systems Manager 管理者権限のセットも作成します。
デプロイする各Change ManagerのQuick Setup設定は、選択した組織単位でChange Managerテンプレートとオートメーションランブックを実行する許可を持つ委任管理者アカウントに職務機能を作成します。Change Manager の Quick Setup 設定は最大で 15 個作成できます。
-
タスク 3: Change Managerで使用する組織内のメンバーアカウントを選択する
Change Manager は、Organizations でセットアップされているすべての組織単位、およびそれらが運用されているすべての AWS リージョン 内のすべてのメンバーアカウントで使用できます。必要に応じて、Change Managerを一部の組織単位のみで使用することもできます。
重要
この手順を開始する前に、手順にあるステップに目を通して、選択する設定と、付与する許可を理解しておくことを強くお勧めします。特に、作成するカスタム職務機能と、各職務機能に割り当てる許可を計画しておくようにしてください。そうすることによって、この後で作成する職務機能ポリシーを個々のユーザー、ユーザーグループ、または IAM ロールにアタッチするときに、それらのユーザーとグループを対象とする許可のみが付与されることを確実にすることができます。
ベストプラクティスとして、まず、AWS アカウント 管理者のログイン情報を使用して、委任された管理者アカウントを設定します。その後、変更テンプレートを作成し、それぞれが使用するランブックを特定した後、職務機能とそのアクセス権限を設定します。
組織で使用する Change Manager を設定するには、Systems Manager コンソールの Quick Setup エリアで次のタスクを実行します。
このタスクは、組織用に作成する職務機能ごとに繰り返し実行します。作成する各職務機能には、異なる一連の組織単位に対する許可を設定することができます。
Organizations の管理アカウントで Change Manager の組織を設定するには
AWS Systems Manager コンソール (https://console.aws.amazon.com/systems-manager/
) を開きます。 ナビゲーションペインで、[Quick Setup] を選択します。
-
Change Manager カードで [Create] (作成) を選択します。
-
[Delegated administrator account (委任管理者アカウント)] に、Change Manager の変更テンプレート、変更リクエスト、およびランブックワークフローの管理に使用する の AWS アカウント の ID を入力します。
以前に Systems Manager 用の委任管理者アカウントを指定した場合は、このフィールドにその ID が既に入力されています。
重要
委任管理者アカウントは、Organizations でそれが割り当てられている組織単位 (OU) 唯一のメンバーである必要があります。
登録した委任管理者アカウントが後ほどそのロールから登録解除された場合は、システムが、解除と当時に Systems Manager 操作を管理するための許可を削除します。Quick Setupに戻って別の委任管理者アカウントを指定し、すべての職務機能と許可を再度指定する必要があることに留意してください。
組織全体で Change Manager を使用する場合は、常に委任管理者アカウントから変更を行うことをお勧めします。組織内の他のアカウントから変更を行うことはできますが、それらの変更は、委任管理者アカウントで報告されず、表示することもできません。
-
[Permissions to request and make changes] (変更をリクエストして実行する許可) セクションで、以下を実行します。
注記
作成するデプロイメント設定は、それぞれ 1 つの職務機能のみに対する許可ポリシーを提供します。操作で使用する変更テンプレートを作成したら、後で Quick Setup に戻って、さらにジョブ機能を作成できます。
管理者ロールを作成する – すべての AWS アクションに対する IAM アクセス許可を持つ管理者職務機能については、以下を実行します。
重要
ユーザーに完全な管理者許可の付与は頻繁に行わず、ユーザーのロールに完全な Systems Manager アクセスが必要な場合のみにする必要があります。Systems Manager アクセスに関するセキュリティ面での考慮事項についての重要な情報は、「AWS Systems Manager のためのアイデンティティおよびアクセス管理」および「Systems Manager のセキュリティに関するベストプラクティス」を参照してください。
-
[Job function] (職務機能) には、このロールとそのアクセス許可を識別するための名前 (例:
MyAWSAdmin
) を入力します。 -
[Role and permissions] (ロールとアクセス許可) オプションには、[Administrator permissions] (管理者許可) を選択します。
その他の職務機能を作成する – 管理者ロール以外のロールを作成するには、以下を実行します。
-
[Job function] (職務機能) に、このロールを識別し、その許可を示す名前を入力します。選択する名前は、
DBAdmin
またはS3Admin
など、許可を提供するランブックの範囲を表している必要があります。 -
[Role and permissions] (ロールとアクセス許可) オプションには、[Custom permissions] (カスタム許可) を選択します。
-
[Permissions policy editor] (許可ポリシーエディタ) に、この職務機能に付与する IAM アクセス許可を JSON 形式で入力します。
ヒント
IAM ポリシーエディタを使用してポリシーを作成してから、ポリシー JSON を [Permissions policy] (アクセス許可ポリシー) フィールドに貼り付けることが推奨されます。
サンプルポリシー: DynamoDB データベース管理
例えば、職務機能がアクセスする必要がある Systems Manager ドキュメント (SSM ドキュメント) を使用するためのアクセス許可を提供するポリシーコンテンツから始めることができます。以下は、DynamoDB データベースに関連する AWS 管理の Automation ランブックのすべてと、米国東部 (オハイオ) リージョン (
us-east-2
) のサンプル AWS アカウント123456789012
で作成された 2 つの変更テンプレートに対するアクセス権を付与するサンプルポリシーコンテンツです。このポリシーには、Change Calendar での変更リクエストの作成に必要な StartChangeRequestExecution オペレーションのアクセス許可も含まれます。
注記
この例は包括的ではありません。データベース、およびノードどのその他の AWS リソースを使用するには、追加のアクセス権限が必要になる場合があります。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:CreateDocument", "ssm:DescribeDocument", "ssm:DescribeDocumentParameters", "ssm:DescribeDocumentPermission", "ssm:GetDocument", "ssm:ListDocumentVersions", "ssm:ModifyDocumentPermission", "ssm:UpdateDocument", "ssm:UpdateDocumentDefaultVersion" ], "Resource": [ "arn:aws:ssm:
region
:*:document/AWS-CreateDynamoDbBackup", "arn:aws:ssm:region
:*:document/AWS-AWS-DeleteDynamoDbBackup", "arn:aws:ssm:region
:*:document/AWS-DeleteDynamoDbTableBackups", "arn:aws:ssm:region
:*:document/AWSConfigRemediation-DeleteDynamoDbTable", "arn:aws:ssm:region
:*:document/AWSConfigRemediation-EnableEncryptionOnDynamoDbTable", "arn:aws:ssm:region
:*:document/AWSConfigRemediation-EnablePITRForDynamoDbTable", "arn:aws:ssm:region
:123456789012
:document/MyFirstDBChangeTemplate", "arn:aws:ssm:region
:123456789012
:document/MySecondDBChangeTemplate" ] }, { "Effect": "Allow", "Action": "ssm:ListDocuments", "Resource": "*" }, { "Effect": "Allow", "Action": "ssm:StartChangeRequestExecution", "Resource": "arn:aws:ssm:region
:123456789012
:automation-definition/*:*" } ] }IAM ポリシーの詳細については、IAM ユーザーガイドの「AWS リソースのアクセス管理」および「IAM ポリシーの作成」を参照してください。
-
-
[Targets] (ターゲット) セクションで、作成している職務機能の許可を組織全体に付与するか、一部の組織単位のみに付与するかを選択します。
[Entire organization] (組織全体) を選択した場合は、ステップ 9 に進みます。
[Custom] (カスタム) を選択した場合は、ステップ 8 に進みます。
-
[Target OUs] (ターゲット OU) セクションで、Change Managerで使用する組織単位のチェックボックスをオンにします。
-
[Create] (作成) を選択します。
システムが組織のためのChange Managerのセットアップを完了したら、デプロイメントの概要が表示されます。この概要情報には、設定した職務機能用に作成されたロールの名前が含まれています。例えば、AWS-QuickSetup-SSMChangeMgr-DBAdminInvocationRole
と指定します。
注記
Quick Setupは、AWS CloudFormation StackSets を使用して設定をデプロイします。AWS CloudFormation コンソールでは、完了したデプロイメント設定に関する情報を表示することもできます。StackSets の詳細については、AWS CloudFormation ユーザーガイドの「AWS CloudFormation StackSets の操作」を参照してください。
次のステップは、追加のChange Managerオプションの設定です。このタスクは、委任管理者アカウント、または Change Manager での使用のために有効化した組織単位内の任意のアカウントで実行することができます。このタスクでは、ユーザーアイデンティティ管理オプションの選択、変更テンプレートと変更リクエストをレビューして承認または拒否できるユーザーの指定、および組織に対して有効化するベストプラクティスオプションの選択などのオプションを設定します。詳細については、Change Managerオプションとベストプラクティスの設定 を参照してください。