診断レポートを S3 にエクスポートするカスタムサービスロールの作成 - AWS Systems Manager

診断レポートを S3 にエクスポートするカスタムサービスロールの作成

Systems Manager の [ノードの探索] ページで、AWS 組織やアカウントのマネージドノードのフィルタリングされた/フィルタリングされていないリストを表示している場合、そのリストをレポートとして CSV ファイル形式で Amazon S3 バケットにエクスポートできます。

そのためには、オペレーションに必要なアクセス許可と信頼ポリシーを持つサービスロールを指定する必要があります。レポートのダウンロードプロセス中に Systems Manager によって自動的にロールが作成されるようにすることもできます。オプションで、ユーザー自身がロールおよびそのロールに必要なポリシーを作成することもできます。

診断レポートを S3 にエクスポートするカスタムサービスロールを作成する手順

  1. IAM ユーザーガイド」の「JSON エディターを使用したポリシーの作成」の手順を実行します。

    • ポリシーコンテンツとして以下を使用します。その際に、プレースホルダー値は独自の情報に置き換えてください。

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetObject",
        "s3:PutObject"
      ],
      "Resource": "arn:aws:s3:::s3-bucket-name/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "account-id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "s3:GetBucketAcl",
        "s3:ListBucket",
        "s3:PutLifecycleConfiguration",
        "s3:GetLifecycleConfiguration"
      ],
      "Resource": "arn:aws:s3:::s3-bucket-name",
      "Condition": {
        "StringEquals": {
          "aws:ResourceAccount": "account-id"
        }
      }
    },
    {
      "Effect": "Allow",
      "Action": [
        "ssm:ListNodes"
      ],
      "Resource": "*"
    }
  ]
}

    • 次のステップで簡単にわかるように、ポリシーに名前を付けます。

  2. IAM ユーザーガイド」の「カスタム信頼ポリシーを使用した IAM ロールの作成 (コンソール)」の手順を実行します。

    • ステップ 4 では、次の信頼ポリシーを入力します。その際に、プレースホルダー値は独自の情報に置き換えてください。

      {
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "SSMAssumeRole",
      "Effect": "Allow",
      "Principal": {
        "Service": "ssm.amazonaws.com"
      },
      "Action": "sts:AssumeRole",
      "Condition": {
        "StringEquals": {
          "aws:SourceAccount": "account-id"
        }
      }
    }
  ]
}

  3. ステップ 10 では、[ステップ 2: アクセス許可を追加する] を選択し、前のステップで作成したポリシーの名前を選択します。

ロールを作成すると、「マネージドノードレポートのダウンロードまたはエクスポート」の手順を実行する際にそのロールを選択できるようになります。