最小 AWS 権限

このページでは、Cloud Monitoring による AWS アカウントへのアクセスを最小限に抑える方法について説明します。

概要

標準の手順を使用して、AWS アカウントをモニタリング対象プロジェクトとして指標スコープに追加すると、すべての AWS リソースへの読み取り専用権限を Monitoring に許可することになります。それには、AWS IAM の中で役割を作成し、すべてのサービスへの読み取り専用権限を付与します。Google Cloud は、Monitoring でそのロールを使用できるようにするためのキー（Role ARN）を保存します。

Monitoring のアクセスのレベルは、選択した AWS IAM 役割によって制御されます。アクセスを最小限に抑えるには、作成した AWS IAM 役割の読み取り専用権限を付与する対象を、すべての AWS リソースではなく、その一部だけにします。たとえば、CloudWatch と SNS へのアクセスだけを役割に許可します。

各ロールに外部 ID があり、これは単一の Google Cloud プロジェクトに固有のものです。

最小限の権限

Monitoring には最低でも、次の AWS 権限ポリシーが必要です。AWS 役割には、少なくともこれらが含まれている必要があります。

AmazonDynamoDBReadOnlyAccess
AmazonEC2ReadOnlyAccess
AmazonElastiCacheReadOnlyAccess
AmazonESReadOnlyAccess
AmazonKinesisReadOnlyAccess
AmazonRedshiftReadOnlyAccess
AmazonRDSReadOnlyAccess
AmazonS3ReadOnlyAccess
AmazonSESReadOnlyAccess
AmazonSNSReadOnlyAccess
AmazonSQSReadOnlyAccess
AmazonVPCReadOnlyAccess
AutoScalingReadOnlyAccess
AWSLambdaReadOnlyAccess
CloudFrontReadOnlyAccess
CloudWatchReadOnlyAccess
CloudWatchEventsReadOnlyAccess

このリストの内容は、今後新しい AWS サービスが Monitoring に追加されると増える可能性があります。Monitoring の機能と、アクセス権を最小限にするという要望のバランスを取れるように、権限を追加できます。

AWS 役割に変更を加える

モニタリング対象プロジェクトとして AWS アカウントを追加済みの場合は、すでに使用している AWS ロールの権限を変更して、Monitoring のアクセスを制限できます。

1. AWS アカウントにログインします。
2. [Services] > [IAM] > [Roles] の順に選択して AWS IAM コンソールを開きます。

3. ページの最下部で、Stackdriver に権限を付与するために使用している役割の名前をクリックします。[Permissions] タブに、その役割の権限が一覧表示されます。

   • 既存の権限を削除するには、その権限の右にある X をクリックします。
   • 権限を追加するには、[Attach policy] をクリックします。
     1. フィルタを使用して、目的のポリシーを探します。
     2. 末尾が ReadOnlyAccess または ReadOnly のポリシーを選択します。
     3. [Attach Policy] をクリックします。
     4. 同じ手順でその他のポリシーを追加します。

アクセスを制限した AWS アカウントを追加する

アクセスが制限されている AWS アカウントを追加するには、標準の手順に従ってください。ただし、ロール ReadOnlyAccess を選択することを指定するステップは除きます。

このステップを次の手順で置き換えます。

1. フィルタを使用して、使用したい権限ポリシーを探します。そのポリシーの ReadOnly バリアントを選択します（必要なのはこのバリアントだけです）。
2. この手順を繰り返して、その他に必要な権限を選択します。
3. 完了したら、[Next: Review] をクリックします。
4. 標準の手順を続行します。