最小 AWS 権限

このページでは、Stackdriver による AWS アカウントへのアクセスを最小限に抑える方法を説明します。

概要

標準の手順で AWS アカウントをワークスペースの 1 つに追加すると、そのアカウントのすべての AWS リソースへの読み取り専用アクセスを Stackdriver に許可することになります。それには、AWS IAM の中で役割を作成し、すべてのサービスへの読み取り専用アクセス権を付与します。ワークスペースの中に格納されるキー(Role ARN)によって、Stackdriver がその役割を使用できるようになります。

Stackdriver のアクセスのレベルは、選択した AWS IAM 役割によって制御されます。アクセスを最小限に抑えるには、作成した AWS IAM 役割の読み取り専用アクセス権を付与する対象を、すべての AWS リソースではなく、その一部だけにします。たとえば、CloudWatch と SNS へのアクセスだけを役割に許可します。

Stackdriver に権限を付与するための AWS 役割は、1 つのワークスペースでのみ使用できます。各役割に外部 ID があり、これは単一のワークスペースに固有です。

最小限の権限

Stackdriver には最低でも、次の AWS 権限ポリシーが必要です。AWS 役割には、少なくともこれらが含まれている必要があります。

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

JSON:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "autoscaling:Describe*",
        "cloudfront:Get*",
        "cloudfront:List*",
        "cloudwatch:Describe*",
        "cloudwatch:Get*",
        "cloudwatch:List*",
        "dynamodb:Describe*",
        "dynamodb:Get*",
        "dynamodb:List*",
        "ec2:Describe*",
        "ec2:Get*",
        "elasticache:Describe*",
        "elasticache:List*",
        "elasticloadbalancing:Describe*",
        "es:Describe*",
        "es:List*",
        "events:Describe*",
        "events:List*",
        "health:Describe*",
        "health:Get*",
        "health:List*",
        "kinesis:Describe*",
        "kinesis:Get*",
        "kinesis:List*",
        "lambda:Get*",
        "lambda:List*",
        "rds:Describe*",
        "rds:List*",
        "redshift:Describe*",
        "redshift:Get*",
        "redshift:View*",
        "s3:Get*",
        "s3:List*",
        "ses:Get*",
        "ses:List*",
        "ses:Describe*",
        "sns:Get*",
        "sns:List*",
        "sqs:Get*",
        "sqs:List*",
        ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

このリストの内容は、今後新しい AWS サービスが Stackdriver に追加されると増える可能性があります。Stackdriver の機能と、アクセス権を最小限にするという要望のバランスを取れるように、権限を追加できます。

手順

AWS 役割に変更を加える

AWS アカウントをワークスペースに追加済みの場合に Stackdriver によるアクセスを制限するには、使用している AWS 役割の権限を次の手順で変更します。

  1. AWS アカウントにログインします。
  2. [Services] > [IAM] > [Roles] の順に選択して AWS IAM コンソールを開きます。
  3. ページの最下部で、Stackdriver に権限を付与するために使用している役割の名前をクリックします。[Permissions] タブに、その役割の権限が一覧表示されます。

    • 既存の権限を削除するには、その権限の右にある X をクリックします。
    • 権限を追加するには、[Attach policy] をクリックします。
      1. フィルタを使用して、目的のポリシーを探します。
      2. 末尾が ReadOnlyAccess または ReadOnly のポリシーを選択します。
      3. [Attach Policy] をクリックします。
      4. 同じ手順でその他のポリシーを追加します。

アクセスを制限した AWS アカウントを追加する

AWS アカウントの追加で説明している、標準の手順をご覧ください。AWS 役割を作成する手順は Stackdriver のユーザー ドキュメントには記載されていませんが、代わりに、AWS アカウントを追加するときに Monitoring Console の中に表示されます。この手順のスクリーンショットを次に示します。

AWS に権限を付与する

この手順を変更するには:

  1. ステップ 7「Select ReadOnlyAccess from the policy list and click Next: Review.」を探します。

  2. このステップを次の手順で置き換えます。

    1. フィルタを使用して、使用したい権限ポリシーを探します。そのポリシーの ReadOnly バリアントを選択します(必要なのはこのバリアントだけです)。
    2. この手順を繰り返して、他に必要な権限があれば選択します。
    3. 完了したら、[Next: Review] をクリックします。画面は次のようになります。

    役割を確認する

  3. 標準の手順を続行します。

このページは役立ちましたか?評価をお願いいたします。

フィードバックを送信...

ご不明な点がありましたら、Google のサポートページをご覧ください。