Systems Manager コンソールアクセスのセットアップ
AWS Management Consoleで AWS Systems Manager を使用するには、適切なアクセス許可が設定されている必要があります。
AWS Identity and Access Management ポリシーを作成して IAM ID にアタッチする方法の詳細については、「IAM ユーザーガイド」の「Create IAM policies」を参照してください。
Systems Manager オンボーディングポリシー
以下の例に示すような IAM ポリシーを作成して、IAM ID にアタッチできます。このポリシーは、Systems Manager をオンボーディングおよび設定するためのフルアクセスを許可します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm-quicksetup– プリンシパルがすべての AWS Systems Manager Quick Setup アクションにアクセスすることを許可します。 -
ssm– プリンシパルが Systems Manager Automation と Resource Explorer にアクセスすることを許可します。 -
organizations– プリンシパルが AWS Organizations で組織の構造を読み取り、組織として Systems Manager にオンボーディングするときに委任管理者を管理することを許可します。 -
cloudformation– プリンシパルが Quick Setup スタックを管理することを許可します。 -
iam– プリンシパルが Systems Manager のオンボーディングに必要な IAM ロールとポリシーを管理することを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "QuickSetupActions", "Effect": "Allow", "Action": [ "ssm-quicksetup:*" ], "Resource": "*" }, { "Sid": "SsmReadOnly", "Effect": "Allow", "Action": [ "ssm:DescribeAutomationExecutions", "ssm:GetAutomationExecution", "ssm:ListAssociations", "ssm:DescribeAssociation", "ssm:ListDocuments", "ssm:ListResourceDataSync", "ssm:DescribePatchBaselines", "ssm:GetPatchBaseline", "ssm:DescribeMaintenanceWindows", "ssm:DescribeMaintenanceWindowTasks" ], "Resource": "*" }, { "Sid": "SsmDocument", "Effect": "Allow", "Action": [ "ssm:GetDocument", "ssm:DescribeDocument" ], "Resource": [ "arn:aws:ssm:*:*:document/AWSQuickSetupType-*", "arn:aws:ssm:*:*:document/AWS-EnableExplorer" ] }, { "Sid": "SsmEnableExplorer", "Effect": "Allow", "Action": "ssm:StartAutomationExecution", "Resource": "arn:aws:ssm:*:*:automation-definition/AWS-EnableExplorer:*" }, { "Sid": "SsmExplorerRds", "Effect": "Allow", "Action": [ "ssm:GetOpsSummary", "ssm:CreateResourceDataSync", "ssm:UpdateResourceDataSync" ], "Resource": "arn:aws:ssm:*:*:resource-data-sync/AWS-QuickSetup-*" }, { "Sid": "OrgsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "OrgsAdministration", "Effect": "Allow", "Action": [ "organizations:EnableAWSServiceAccess", "organizations:RegisterDelegatedAdministrator", "organizations:DeregisterDelegatedAdministrator" ], "Resource": "*", "Condition": { "StringEquals": { "organizations:ServicePrincipal": [ "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "member.org.stacksets.cloudformation.amazonaws.com", "resource-explorer-2.amazonaws.com" ] } } }, { "Sid": "CfnReadOnly", "Effect": "Allow", "Action": [ "cloudformation:ListStacks", "cloudformation:DescribeStacks", "cloudformation:ListStackSets", "cloudformation:DescribeOrganizationsAccess" ], "Resource": "*" }, { "Sid": "OrgCfnAccess", "Effect": "Allow", "Action": [ "cloudformation:ActivateOrganizationsAccess" ], "Resource": "*" }, { "Sid": "CfnStackActions", "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackResources", "cloudformation:DescribeStackEvents", "cloudformation:GetTemplate", "cloudformation:RollbackStack", "cloudformation:TagResource", "cloudformation:UntagResource", "cloudformation:UpdateStack" ], "Resource": [ "arn:aws:cloudformation:*:*:stack/StackSet-AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:stack/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*" ] }, { "Sid": "CfnStackSetActions", "Effect": "Allow", "Action": [ "cloudformation:CreateStackInstances", "cloudformation:CreateStackSet", "cloudformation:DeleteStackInstances", "cloudformation:DeleteStackSet", "cloudformation:DescribeStackInstance", "cloudformation:DetectStackSetDrift", "cloudformation:ListStackInstanceResourceDrifts", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:ListStackInstances", "cloudformation:ListStackSetOperations", "cloudformation:ListStackSetOperationResults", "cloudformation:TagResource", "cloudformation:UntagResource", "cloudformation:UpdateStackSet" ], "Resource": [ "arn:aws:cloudformation:*:*:stackset/AWS-QuickSetup-*", "arn:aws:cloudformation:*:*:type/resource/*", "arn:aws:cloudformation:*:*:stackset-target/AWS-QuickSetup-*:*" ] }, { "Sid": "ValidationReadonlyActions", "Effect": "Allow", "Action": [ "iam:ListRoles", "iam:GetRole" ], "Resource": "*" }, { "Sid": "IamRolesMgmt", "Effect": "Allow", "Action": [ "iam:CreateRole", "iam:DeleteRole", "iam:GetRole", "iam:AttachRolePolicy", "iam:DetachRolePolicy", "iam:GetRolePolicy", "iam:ListRolePolicies" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] }, { "Sid": "IamPassRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ], "Condition": { "StringEquals": { "iam:PassedToService": [ "ssm.amazonaws.com", "ssm-quicksetup.amazonaws.com", "cloudformation.amazonaws.com" ] } } }, { "Sid": "IamRolesPoliciesMgmt", "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:DetachRolePolicy" ], "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ], "Condition": { "ArnEquals": { "iam:PolicyARN": [ "arn:aws:iam::aws:policy/AWSSystemsManagerEnableExplorerExecutionPolicy", "arn:aws:iam::aws:policy/AWSQuickSetupSSMDeploymentRolePolicy" ] } } }, { "Sid": "CfnStackSetsSLR", "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/stacksets.cloudformation.amazonaws.com/AWSServiceRoleForCloudFormationStackSetsOrgAdmin", "arn:aws:iam::*:role/aws-service-role/ssm.amazonaws.com/AWSServiceRoleForAmazonSSM", "arn:aws:iam::*:role/aws-service-role/accountdiscovery.ssm.amazonaws.com/AWSServiceRoleForAmazonSSM_AccountDiscovery", "arn:aws:iam::*:role/aws-service-role/ssm-quicksetup.amazonaws.com/AWSServiceRoleForSSMQuickSetup", "arn:aws:iam::*:role/aws-service-role/resource-explorer-2.amazonaws.com/AWSServiceRoleForResourceExplorer" ] } ] }
AWS Systems Manager コンソールオペレーターのポリシー
以下の例に示すような IAM ポリシーを作成して、IAM ID にアタッチできます。このポリシーは、Systems Manager を運用するためのフルアクセスを許可し、診断と修復のために Automation ドキュメントを実行することを Systems Manager に許可します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
-
ssm– プリンシパルがすべての Systems Manager API にアクセスすることを許可します。 -
ssm-quicksetup– プリンシパルが自身の Quick Setup 設定を管理することを許可します。 -
ec2– 有効になっている AWS リージョンと Amazon EC2 インスタンスのステータスを判断することを Systems Manager に許可します。 -
cloudformation– プリンシパルが自身の Quick Setup スタックを読み取ることを許可します。 -
organizations– プリンシパルが AWS Organizations で組織の構造を読み取り、組織として Systems Manager にオンボーディングするときに委任管理者を管理することを許可します。 -
s3– プリンシパルが Systems Manager のオンボーディングプロセス時に作成された Amazon S3 バケット内のオブジェクトを診断のためにリストおよび取得することを許可します。 -
iam:PassRole– プリンシパルが Automation を実行してアンマネージドノードの診断と修復を行うときに、引き受けられるロールを Systems Manager に渡すことを許可します。 -
iam:GetRole– プリンシパルが Systems Manager での作業時に Quick Setup ロールの特定のロール情報を取得することを許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:*", "ssm-quicksetup:*" ], "Resource": "*" }, { "Sid": "AllowEC2DescribeActions", "Effect": "Allow", "Action": [ "ec2:DescribeInstanceStatus", "ec2:DescribeInstances", "ec2:DescribeRegions" ], "Resource": "*" }, { "Sid": "CfnAccess", "Effect": "Allow", "Action": [ "cloudformation:ListStacks", "cloudformation:ListStackSets", "cloudformation:ListStackInstances", "cloudformation:ListStackSetOperations", "cloudformation:ListStackSetOperationResults", "cloudformation:DescribeStacks", "cloudformation:DescribeStackSet", "cloudformation:DescribeStackSetOperation", "cloudformation:DescribeOrganizationsAccess", "cloudformation:DescribeStackInstance", "cloudformation:DetectStackSetDrift", "cloudformation:ListStackInstanceResourceDrifts" ], "Resource": "*" }, { "Sid": "OrgsReadOnly", "Effect": "Allow", "Action": [ "organizations:DescribeAccount", "organizations:DescribeOrganization", "organizations:ListDelegatedAdministrators", "organizations:ListRoots", "organizations:ListParents", "organizations:ListOrganizationalUnitsForParent", "organizations:DescribeOrganizationalUnit", "organizations:ListAWSServiceAccessForOrganization" ], "Resource": "*" }, { "Sid": "AllowKMSOperations", "Effect": "Allow", "Action": [ "kms:Decrypt", "kms:GenerateDataKey" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/SystemsManagerManaged": "true" }, "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*" }, "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" }, "Bool": { "aws:ViaAWSService": "true" } } }, { "Sid": "AllowReadS3BucketFromOrganization", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceOrgId": "${aws:PrincipalOrgId}" } } }, { "Sid": "AllowReadS3BucketFromSingleAccount", "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } }, { "Effect": "Allow", "Action": "iam:PassRole", "Resource": [ "arn:aws:iam::*:role/AWS-SSM-DiagnosisAdminRole*", "arn:aws:iam::*:role/AWS-SSM-DiagnosisExecutionRole*", "arn:aws:iam::*:role/AWS-SSM-RemediationAdminRole*", "arn:aws:iam::*:role/AWS-SSM-RemediationExecutionRole*" ], "Condition": { "StringEquals": { "iam:PassedToService": "ssm.amazonaws.com" } } }, { "Sid": "IamReadOnly", "Effect": "Allow", "Action": "iam:GetRole", "Resource": [ "arn:aws:iam::*:role/AWS-QuickSetup-*", "arn:aws:iam::*:role/service-role/AWS-QuickSetup-*" ] } ] }
AWS Systems Manager コンソールオペレーターの読み取り専用ポリシー
以下の例に示すような IAM ポリシーを作成して、IAM ID にアタッチできます。この管理ポリシーは、Systems Manager を使用するための読み取り専用アクセスを許可します。
-
ssm– プリンシパルが Systems Manager 読み取り専用 API にアクセスすることを許可します。 -
ssm-quicksetup– プリンシパルが Quick Setup 設定を読み取ることを許可します。 -
cloudformation– プリンシパルが自身の Quick Setup スタックを読み取ることを許可します。 -
iam:GetRole– プリンシパルが Systems Manager の使用時に Quick Setup ロールの特定のロール情報を取得することを許可します。 -
ec2:DescribeRegions– 有効になっている AWS リージョンを判断することを Systems Manager に許可します。 -
organizations– プリンシパルが組織として Systems Manager にオンボーディングするときに AWS Organizations で組織の構造を読み取ることを許可します。 -
s3– プリンシパルが Systems Manager のオンボーディングプロセス時に作成された Amazon S3 バケット内のオブジェクトをリストおよび取得することを許可します。
アクセス許可の詳細
このポリシーには、以下のアクセス許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ssm:Describe*", "ssm:Get*", "ssm:List*", "ssm-quicksetup:List*", "ssm-quicksetup:Get*", "cloudformation:Describe*", "cloudformation:Get*", "cloudformation:List*", "iam:GetRole", "ec2:DescribeRegions", "organizations:Describe*", "organizations:List*" ], "Resource": "*" }, { "Sid": "AllowKMSOperations", "Effect": "Allow", "Action": [ "kms:Decrypt" ], "Resource": "arn:aws:kms:*:*:key/*", "Condition": { "StringEquals": { "aws:ResourceTag/SystemsManagerManaged": "true" }, "ArnLike": { "kms:EncryptionContext:aws:s3:arn": "arn:aws:s3:::do-not-delete-ssm-diagnosis-*" }, "StringLike": { "kms:ViaService": "s3.*.amazonaws.com" }, "Bool": { "aws:ViaAWSService": "true" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceOrgId": "${aws:PrincipalOrgId}" } } }, { "Effect": "Allow", "Action": [ "s3:GetObject", "s3:ListBucket" ], "Resource": "arn:aws:s3:::do-not-delete-ssm-diagnosis*", "Condition": { "StringEquals": { "aws:ResourceAccount": "${aws:PrincipalAccount}" } } } ] }
