IAM ポリシーの作成

AWS では、IAM ポリシーによって、このポリシーに関連付けられたユーザーアカウントの権限が定義されます。

Solution Manager の 自動クラウドモード (AWS) では、AWS API を使用してユーザーの代わりに AWS アカウントでアクションを実施するため、ユーザーがアクションを実施する必要はありません。具体的には、Denodo コンポーネントを実行する EC2 インスタンスの作成、必要なロードバランサーの作成などを行います。

これを行うには、 自動クラウドモード を使用する前に、IAM ポリシーを定義する必要があります。この IAM ポリシーによって、Solution Manager に関連付けられたサービスアカウントが必要とするあらゆる AWS API の操作を呼び出せるようになります。ポリシーファイルは提供されるため、ユーザーの作業は自身の AWS アカウントでポリシーを定義することだけです。

IAM ポリシーを作成するには、以下の手順に従って実施してください。

  1. AWS マネジメントコンソール にログインします。

  2. [IAM] に移動します。

  3. 左パネルで [Access management] を展開し、[Policies] をクリックします。

  4. [Create policy] をクリックします。

  5. 次のファイルをコンピュータにダウンロードします。 Denodo_Solution_Manager_8_0_IAM_PolicyPermissions.json

    この JSON ファイルは新しい IAM ポリシーの権限を定義したものです。ユーザーが Solution Manager で可能なすべてのアクションを実行できるようにするために、Solution Manager ではすべての権限を必要とします。

    評価や単純なデプロイが目的の場合は、このファイルの使用をお勧めします。Solution Manager がユーザーに変わって AWS で行うアクションを制限する場合は、以下のセクションを参照してください。このポリシーファイルに含まれる権限と、権限によって影響を受ける Solution Manager の機能の一覧を記載しています。

  6. [JSON] タブをクリックし、テキストボックスの内容を消去してから、前の手順でダウンロードしたファイルの内容を貼り付けます。次に、[Review policy] をクリックします。JSON に関する警告メッセージが AWS コンソールに表示された場合も、そのままポリシー作成を続けてください。

  7. 新しいポリシーの名前「 denodo_80_solution_manager 」 (別の名前でも構いません) と説明を入力します。そして、[Create policy] をクリックします。

主な機能

評価や単純なデプロイが目的の場合は、提供するポリシーファイルを使用して IAM ポリシーを作成することをお勧めします。Solution Manager が AWS アカウントで行うアクションを制限する場合は、以下の内容を考慮してください。

  • 以下の表で 要否の列が〇 とマークされた権限をポリシーから削除することは できません 。削除した場合は操作に失敗するため、Solution Manager の自動クラウドモードは使用できません。

  • 要否の列が× とマークされた権限は削除できますが、権限に関連する機能を使用できない点に注意してください。このようなアクションを実行するとエラーになります。

Solution Manager の主要機能が必要とする IAM ポリシーサービス

サービス

アクション

要否

使用法

EC2

タグ操作

CreateTags

自動作成したリソースの命名に必要

DeleteTags

×

自動作成した命名済みリソースの削除に必要

書き込み

AttachInternetGateway

×

パブリック ELB を使用する場合に必要

DeregisterImage

更新プログラムの自動インストール、クラウドでのデプロイ、インスタンスの再作成、TLS の自動構成に必要

CreateRoute

×

Solution Manager が管理するパブリック ELB または VPC を使用する場合に必要

CreateInternetGateway

×

パブリック ELB を使用する場合に必要

DeleteRoute

×

パブリック ELB や VPC の自動管理に必要

DeleteSnapshot

更新プログラムの自動インストール、クラウドでのデプロイ、インスタンスの再作成、TLS の自動構成に必要

DeregisterImage

更新プログラムの自動インストール、クラウドでのデプロイ、インスタンスの再作成、TLS の自動構成に必要

ModifyInstanceAttribute

インスタンスユーザーデータの設定に必要

RebootInstances

インスタンスの起動に必要

RunInstances

インスタンスの起動に必要

StartInstances

インスタンスの起動に必要

StopInstances

インスタンスの起動に必要

TerminateInstances

インスタンスの起動に必要

リスト

DescribeImages

インスタンスの起動に必要

DescribeInstances

インスタンスの起動に必要

DescribeInternetGateways

×

パブリック ELB を使用する場合に必要

DescribeKeyPairs

利用可能なキーペアのリスト化に必要

DescribeRegions

利用可能なリージョンのリスト化に必要

DescribeRouteTables

×

Solution Manager が管理するパブリック ELB または VPC を使用する場合に必要

DescribeSecurityGroups

利用可能なセキュリティグループのリスト化に必要

DescribeSubnets

利用可能なサブネットのリスト化に必要

DescribeVpcs

利用可能な VPC のリスト化に必要

読み込み

DescribeTags

×

自動作成したリソースの命名に必要

ELB v2

書き込み

CreateListener

ELB の作成に必要

CreateLoadBalancer

ELB の作成に必要

CreateTargetGroup

ELB の作成に必要

DeleteListener

ELB の作成に必要

DeleteLoadBalancer

ELB の作成に必要

DeleteTargetGroup

ELB の作成に必要

DeregisterTargets

×

[minimizing downtime] オプションの利用に必要

ModifyListener

ELB の作成に必要

ModifyTargetGroupAttributes

ELB の作成に必要

RegisterTargets

ELB の作成に必要

読み込み

DescribeListeners

ELB の作成に必要

DescribeLoadBalancers

ELB の作成に必要

DescribeTargetGroups

ELB の作成に必要

DescribeTargetHealth

×

[minimizing downtime] オプションの利用に必要

IAM

書き込み

PassRole

×

S3 へのログ保存と、更新プログラムの自動インストールに必要

読み込み

GetUser

アカウント情報の取得に必要

リスト

ListInstanceProfiles

×

S3 へのログ保存と、更新プログラムの自動インストールに必要

S3

書き込み

DeleteObject

×

S3 へのログ保存と、更新プログラムの自動インストールに必要

PutObject

×

S3 へのログ保存と、更新プログラムの自動インストールに必要

読み込み

GetBucketLocation

×

S3 へのログ保存と、更新プログラムの自動インストールに必要

sts

書き込み

DecodeAuthorizationMessage

AWS から発生中の認証エラーを取得するために必要

自動 VPC 管理

自動モードを使用して環境を作成する 場合、Solution Manager に新しい EC2 インスタンス用の VPC (仮想プライベートクラウド) を作成させるか、既存の VPC を使用させるかを選択できます。

Solution Manager に VPC の作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。

VPC 管理機能が必要とする IAM ポリシーサービス

サービス

アクション

EC2

書き込み

AcceptVpcPeeringConnection

CreateVpcPeeringConnection

DeleteVpcPeeringConnection

ModifyVpcAttribute

ModifyVpcPeeringConnectionOptions

CreateRoute

DeleteRoute

ReplaceRoute

リスト

DescribeVpcAttribute

DescribeVpcPeeringConnections

DescribeRouteTables

自動サブネット管理

自動モードを使用してクラスタを作成する 場合、Solution Manager に新しいコンポーネント用のサブネットを作成させるか、既存のサブネットを利用させるかを選択できます。

Solution Manager にサブネットの作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。

サブネット管理機能が必要とする IAM ポリシーサービス

サービス

アクション

EC2

書き込み

CreateSubnet

ModifySubnetAttribute

自動オートスケーリンググループ管理

自動モードを使用してクラスタを作成する 場合、Solution Manager にオートスケーリンググループで EC2 インスタンスを起動させるかどうかを選択できます。

Solution Manager にオートスケーリンググループの作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。

オートスケーリンググループ管理機能が必要とする IAM ポリシーサービス

サービス

アクション

EC2

書き込み

CreateLaunchTemplate

CreateLaunchTemplateVersion

DeleteLaunchTemplate

DeleteLaunchTemplateVersions

ModifyLaunchTemplate

リスト

DescribeLaunchTemplateVersions

EC2 オートスケーリング

書き込み

AttachInstances

AttachLoadBalancerTargetGroups

CreateAutoScalingGroup

DeleteAutoScalingGroup

DetachInstances

DetachLoadBalancerTargetGroups

UpdateAutoScalingGroup

リスト

DescribeAutoScalingGroups

DescribeScalingActivities

自動セキュリティグループ管理

自動モードを使用してクラスタを作成する 場合、Solution Manager に必要な構成のセキュリティグループを作成させるか、既存のセキュリティグループを利用させるかを選択できます。

Solution Manager にセキュリティグループの作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。

Denodo Platform のセキュリティグループ管理機能が必要とする IAM ポリシーサービス

サービス

アクション

EC2

書き込み

AuthorizeSecurityGroupIngress

CreateSecurityGroup

DeleteSecurityGroup