AWS IAMコンソールでAWSリソースへのReadOnlyアクセスを設定する方法

AWS IAMコンソールでAWSリソースへのReadOnlyアクセスを設定する方法

Site24x7はAWSリソースにAPIコールを行い、パフォーマンスメトリクスやメタデータの収集を行います。そのためには、ユーザー(AWSアカウント保有者)はSite24x7がAWSアカウントに接続する許可を与える必要があります。AWSアカウント保有者は2つの方法で許可を与えられます。IAMユーザー作成とクロスアカウントIAMロールアクセスの2つです。


IAMユーザー作成
AWSのIAM (Identity and Access Management) コンソールにログインし、Site24x7をIAMユーザーとして作成します。ポリシー権限を割り当て、アクセスキー(アクセスキーIDとシークレットアクセスキー)を生成します。

クロスアカウントIAMロールアクセス
AWSのIAM (Identity Access Management) コンソールにログインし、AWSアカウントとSite24x7のAWSアカウントについてクロスアカウントIAMロールを作成します。Site24x7のアカウントID、ユニーク外部IDを作成し、ポリシー権限を割り当て、RoleARNを生成します。

実行後、Site24x7のコンソールで、アクセスキー(アクセスキーIDとシークレットアクセスキー)またはRoleARNを貼り付けることにより監視がスタートできるようになります。

ポリシーと権限 
方法に関わらず、AWS root アカウント保有者または管理者はSite24x7に権限を割り当てる必要があります。それにより、アクセスできるAWSリソースに対してAPIコールを行えるようになります。

ポリシーの割り当て 

管理ポリシー:

  1. AWSのrootアカウント保有者はデフォルトのIAM管理ポリシー("ReadOnly Access")をSite24x7に割り当てられます。この権限では多くのAWSサービスのアクティブなリソースに対してReadOnlyアクセスが提供されます。
  2. rootアカウント保有者は特定のポリシー権限を割り当てることによりSite24x7の監視の範囲を制限することも可能です。例えば、監視をEC2インスタンスと関連サービスに制限したい場合、デフォルトの"Amazon EC2 ReadOnly"を割り当てることで対応できます。
インラインポリシー:

完全なAWSインフラストラクチャー監視を行うには、Site24x7がサポートしているすべてのAWSリソースをディスカバリーする必要があります。これを行うには、インラインポリシーとしてカスタムポリシーJSONを用いることで可能です。このポリシーでは、Site24x7に以下のAWSサービスとリソースに対してReadOnlyアクセスが与えられます。
  1. Auto Scaling
  2. AWS CloudWatch
  3. Amazon Elastic Compute Cloud (EC2)
  4. Amazon Relational Database Service (RDS)
  5. Amazon Simple Storage Service (S3)
  6. Amazon Route 53
  7. Amazon Elastic Load Balancer (Classic) and Application type.
  8. Amazon Simple Notification Service (SNS)
  9. DynamoDB 
特定のAWSリソースを監視する特定の権限をもつポリシーを作成することも可能です。詳細についてはこちらのドキュメントをご参照ください。

    • Related Articles

    • タグでのAWSリソースディスカバリー

      AWSアカウントをSite24x7と連携する際、タグを追加して、AWSのディスカバリーを制御できます。タグの包含と除外のタグ操作とAND/ORロジックで、AWSリソースをフィルターします。 この機能の主な注意点は次のとおりです。 包含と除外の操作は、"Region"タグ以外で使用できます 包含と除外の両方が使用されている場合、除外操作が先に行われます 複数のタグが入力されている場合にのみ、包含と除外セクションでAND/ORロジックを使用できます ...

    • 特定のAWSリソースをディスカバリーしない方法

      デフォルトでは、Site24x7は自動的にポリシーに含まれるすべてのAWSリソースをディスカバリーし、監視を行います。特定のリソースのみ監視をしたり、AWSへのAPIコールの数を制限したりしたい場合、タグベースのディスカバリーを利用できます。現在、Site24x7ではタグベースで除外を設定できる次の3つのモードをサポートしています。 システム定義タグ: システム属性を用いてディスカバリー時にAWSリソースをフィルターします。現在、2つのタイプのシステム属性をサポートしています。地域とVPC ...

    • Site24x7がAWSリソースにアクセスするためのポリシーと権限

      ...

    • AWSメトリックプロファイル - メトリックや監視の新規追加の際

      ケース 1:サービスの新規メトリック追加の際 AWSリソースの新規メトリックを追加すると、アカウントの既存のメトリックプロファイルに自動でそのメトリックが追加されます。 ...

    • セキュリティ強化のためAWS IAMポリシーにIPアドレス条件を設定する

      ...