診断レポートを S3 にエクスポートするカスタムサービスロールの作成 - AWS Systems Manager

診断レポートを S3 にエクスポートするカスタムサービスロールの作成

Systems Manager の [ノードの探索] ページで、AWS 組織やアカウントのマネージドノードのフィルタリングされた/フィルタリングされていないリストを表示している場合、そのリストをレポートとして CSV ファイル形式で Amazon S3 バケットにエクスポートできます。

そのためには、オペレーションに必要なアクセス許可と信頼ポリシーを持つサービスロールを指定する必要があります。レポートのダウンロードプロセス中に Systems Manager によって自動的にロールが作成されるようにすることもできます。オプションで、ユーザー自身がロールおよびそのロールに必要なポリシーを作成することもできます。

診断レポートを S3 にエクスポートするカスタムサービスロールを作成する手順
  1. IAM ユーザーガイド」の「JSON エディターを使用したポリシーの作成」の手順を実行します。

    • ポリシーコンテンツとして以下を使用します。その際に、プレースホルダー値は独自の情報に置き換えてください。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:PutObject" ], "Resource": "arn:aws:s3:::s3-bucket-name/*", "Condition": { "StringEquals": { "aws:ResourceAccount": "account-id" } } }, { "Effect": "Allow", "Action": [ "s3:GetBucketAcl", "s3:ListBucket", "s3:PutLifecycleConfiguration", "s3:GetLifecycleConfiguration" ], "Resource": "arn:aws:s3:::s3-bucket-name", "Condition": { "StringEquals": { "aws:ResourceAccount": "account-id" } } }, { "Effect": "Allow", "Action": [ "ssm:ListNodes" ], "Resource": "*" } ] }
    • 次のステップで簡単にわかるように、ポリシーに名前を付けます。

  2. IAM ユーザーガイド」の「カスタム信頼ポリシーを使用した IAM ロールの作成 (コンソール)」の手順を実行します。

    • ステップ 4 では、次の信頼ポリシーを入力します。その際に、プレースホルダー値は独自の情報に置き換えてください。

      { "Version": "2012-10-17", "Statement": [ { "Sid": "SSMAssumeRole", "Effect": "Allow", "Principal": { "Service": "ssm.amazonaws.com" }, "Action": "sts:AssumeRole", "Condition": { "StringEquals": { "aws:SourceAccount": "account-id" } } } ] }
  3. ステップ 10 では、[ステップ 2: アクセス許可を追加する] を選択し、前のステップで作成したポリシーの名前を選択します。

ロールを作成すると、「マネージドノードレポートのダウンロードまたはエクスポート」の手順を実行する際にそのロールを選択できるようになります。