IAM ポリシーの作成¶
AWS では、IAM ポリシーによって、このポリシーに関連付けられたユーザーアカウントの権限が定義されます。
Solution Manager の Automated Cloud Mode (AWS) では、AWS API を使用してユーザーの代わりに AWS アカウントでアクションを実行するため、ユーザーがアクションを実行する必要はありません。具体的には、Denodo コンポーネントを実行する EC2 インスタンスの作成、必要なロードバランサーの作成などを行います。
これを行うには、 自動クラウドモード を使用する前に、IAM ポリシーを定義する必要があります。この IAM ポリシーによって、Solution Manager に関連付けられたサービスアカウントが必要とするあらゆる AWS API の操作を呼び出せるようになります。ポリシーファイルは提供されるため、ユーザーの作業は自身の AWS アカウントでポリシーを定義することだけです。
IAM ポリシーを作成するには、以下の手順に従って実施してください。
AWS マネジメントコンソール にログインします。
[IAM] に移動します。
左パネルで [Access management] を展開し、[Policies] をクリックします。
[Create policy] をクリックします。
次のファイルをコンピュータにダウンロードします:
Denodo_Solution_Manager_8_0_IAM_PolicyPermissions.json
。この JSON ファイルは新しい IAM ポリシーの権限を定義したものです。ユーザーが Solution Manager で可能なすべてのアクションを実行できるようにするために、Solution Manager ではすべての権限を必要とします。
評価や単純なデプロイが目的の場合は、このファイルの使用をお勧めします。Solution Manager がユーザーに変わって AWS で行うアクションを制限する場合は、以下のセクションを参照してください。このポリシーファイルに含まれる権限と、権限によって影響を受ける Solution Manager の機能の一覧を記載しています。
[JSON] タブをクリックし、テキストボックスの内容を消去してから、前の手順でダウンロードしたファイルの内容を貼り付けます。次に、[Review policy] をクリックします。JSON に関する警告メッセージが AWS コンソールに表示された場合も、そのままポリシー作成を続けてください。
新しいポリシーの名前「 denodo_80_solution_manager 」 (別の名前でも構いません) と説明を入力します。そして、[Create policy] をクリックします。
主な機能¶
評価や単純なデプロイが目的の場合は、提供するポリシーファイルを使用して IAM ポリシーを作成することをお勧めします。Solution Manager が AWS アカウントで行うアクションを制限する場合は、以下の内容を考慮してください。
以下の表で 要否の列が〇 とマークされた権限をポリシーから削除することは できません 。削除した場合は操作に失敗するため、Solution Manager の自動クラウドモードは使用できません。
要否の列が× とマークされた権限は削除できますが、権限に関連する機能を使用できない点に注意してください。このようなアクションを実行するとエラーになります。
サービス |
アクション |
要否 |
使用法 |
|
---|---|---|---|---|
EC2 |
タグ操作 |
CreateTags |
○ |
自動作成したリソースの命名に必要 |
DeleteTags |
× |
自動作成した命名済みリソースの削除に必要 |
||
書き込み |
AttachInternetGateway |
× |
パブリック ELB を使用する場合に必要 |
|
DeregisterImage |
○ |
更新プログラムの自動インストール、クラウドでのデプロイ、インスタンスの再作成、TLS の自動構成に必要 |
||
CreateRoute |
× |
Solution Manager が管理するパブリック ELB または VPC を使用する場合に必要 |
||
CreateInternetGateway |
× |
パブリック ELB を使用する場合に必要 |
||
DeleteRoute |
× |
パブリック ELB や VPC の自動管理に必要 |
||
DeleteSnapshot |
○ |
更新プログラムの自動インストール、クラウドでのデプロイ、インスタンスの再作成、TLS の自動構成に必要 |
||
DeregisterImage |
○ |
更新プログラムの自動インストール、クラウドでのデプロイ、インスタンスの再作成、TLS の自動構成に必要 |
||
ModifyInstanceAttribute |
○ |
インスタンスユーザーデータの設定に必要 |
||
RebootInstances |
○ |
インスタンスの起動に必要 |
||
RunInstances |
○ |
インスタンスの起動に必要 |
||
StartInstances |
○ |
インスタンスの起動に必要 |
||
StopInstances |
○ |
インスタンスの起動に必要 |
||
TerminateInstances |
○ |
インスタンスの起動に必要 |
||
リスト |
DescribeImages |
○ |
インスタンスの起動に必要 |
|
DescribeInstances |
○ |
インスタンスの起動に必要 |
||
DescribeInternetGateways |
× |
パブリック ELB を使用する場合に必要 |
||
DescribeKeyPairs |
○ |
利用可能なキーペアのリスト化に必要 |
||
DescribeRegions |
○ |
利用可能なリージョンのリスト化に必要 |
||
DescribeRouteTables |
× |
Solution Manager が管理するパブリック ELB または VPC を使用する場合に必要 |
||
DescribeSecurityGroups |
○ |
利用可能なセキュリティグループのリスト化に必要 |
||
DescribeSubnets |
○ |
利用可能なサブネットのリスト化に必要 |
||
DescribeVpcs |
○ |
利用可能な VPC のリスト化に必要 |
||
読み込み |
DescribeTags |
× |
自動作成したリソースの命名に必要 |
|
ELB v2 |
書き込み |
CreateListener |
○ |
ELB の作成に必要 |
CreateLoadBalancer |
○ |
ELB の作成に必要 |
||
CreateTargetGroup |
○ |
ELB の作成に必要 |
||
DeleteListener |
○ |
ELB の作成に必要 |
||
DeleteLoadBalancer |
○ |
ELB の作成に必要 |
||
DeleteTargetGroup |
○ |
ELB の作成に必要 |
||
DeregisterTargets |
× |
[minimizing downtime] オプションの利用に必要 |
||
ModifyListener |
○ |
ELB の作成に必要 |
||
ModifyTargetGroupAttributes |
○ |
ELB の作成に必要 |
||
RegisterTargets |
○ |
ELB の作成に必要 |
||
読み込み |
DescribeListeners |
○ |
ELB の作成に必要 |
|
DescribeLoadBalancers |
○ |
ELB の作成に必要 |
||
DescribeTargetGroups |
○ |
ELB の作成に必要 |
||
DescribeTargetHealth |
× |
[minimizing downtime] オプションの利用に必要 |
||
IAM |
書き込み |
PassRole |
× |
S3 へのログ保存と、更新プログラムの自動インストールに必要 |
読み込み |
GetUser |
○ |
アカウント情報の取得に必要 |
|
リスト |
ListInstanceProfiles |
× |
S3 へのログ保存と、更新プログラムの自動インストールに必要 |
|
S3 |
書き込み |
DeleteObject |
× |
S3 へのログ保存と、更新プログラムの自動インストールに必要 |
PutObject |
× |
S3 へのログ保存と、更新プログラムの自動インストールに必要 |
||
読み込み |
GetBucketLocation |
× |
S3 へのログ保存と、更新プログラムの自動インストールに必要 |
|
sts |
書き込み |
DecodeAuthorizationMessage |
○ |
AWS から発生中の認証エラーを取得するために必要 |
自動 VPC 管理¶
自動モードを使用して環境を作成する 場合、Solution Manager で新しい EC2 インスタンス用の VPC (仮想プライベートクラウド) を作成するか、既存の VPC を使用するかを選択できます。
Solution Manager に VPC の作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。
サービス |
アクション |
|
---|---|---|
EC2 |
書き込み |
AcceptVpcPeeringConnection |
CreateVpcPeeringConnection |
||
DeleteVpcPeeringConnection |
||
ModifyVpcAttribute |
||
ModifyVpcPeeringConnectionOptions |
||
CreateRoute |
||
DeleteRoute |
||
ReplaceRoute |
||
リスト |
DescribeVpcAttribute |
|
DescribeVpcPeeringConnections |
||
DescribeRouteTables |
自動サブネット管理¶
自動モードを使用してクラスタを作成する 場合、Solution Manager で新しいコンポーネント用のサブネットを作成するか、既存のサブネットを利用するかを選択できます。
Solution Manager にサブネットの作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。
サービス |
アクション |
|
---|---|---|
EC2 |
書き込み |
CreateSubnet |
ModifySubnetAttribute |
自動オートスケーリンググループ管理¶
自動モードを使用してクラスタを作成する 場合、Solution Manager でオートスケーリンググループ内の EC2 インスタンスを起動するかどうかを選択できます。
Solution Manager にオートスケーリンググループの作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。
サービス |
アクション |
|
---|---|---|
EC2 |
書き込み |
CreateLaunchTemplate |
CreateLaunchTemplateVersion |
||
DeleteLaunchTemplate |
||
DeleteLaunchTemplateVersions |
||
ModifyLaunchTemplate |
||
リスト |
DescribeLaunchTemplateVersions |
|
EC2 オートスケーリング |
書き込み |
AttachInstances |
AttachLoadBalancerTargetGroups |
||
CreateAutoScalingGroup |
||
DeleteAutoScalingGroup |
||
DetachInstances |
||
DetachLoadBalancerTargetGroups |
||
UpdateAutoScalingGroup |
||
リスト |
DescribeAutoScalingGroups |
|
DescribeScalingActivities |
自動セキュリティグループ管理¶
自動モードを使用してクラスタを作成する 場合、Solution Manager で必要な構成のセキュリティグループを作成するか、既存のセキュリティグループを利用するかを選択できます。
Solution Manager にセキュリティグループの作成と管理を許可しない場合、ポリシーから以下の権限を削除して構いません。
サービス |
アクション |
|
---|---|---|
EC2 |
書き込み |
AuthorizeSecurityGroupIngress |
CreateSecurityGroup |
||
DeleteSecurityGroup |