Cloud AutomatorでIAMロールを利用してAWSアカウントを追加できるようになりました

AWS運用自動化サービス「Cloud Automator」

本日から、Cloud AutomatorにAWSアカウントを追加する際に「IAMロール」(IAMロールのARN)を利用することができるようになりました。

これまで、Cloud Automatorを利用するためには、AWS側に作成した「IAMユーザー」の認証情報(アクセスキーIDおよびシークレットアクセスキー)をCloud Automator側に入力する必要がありましたが、今回リリースとなる新方式ではCloud Automator側に認証情報を持たせる必要がなくなるため、より安全にご利用いただけるようになります。

新方式と旧方式の違い

「IAMロール」を利用する新方式は、「IAMユーザー」を利用する旧方式に比べて主に次の点が異なります。

  • 新方式では、Cloud Automatorに登録したAWSアカウント毎に、ユーザー側のAWS環境に「CloudFormationスタック」と「IAMロール」が必要となる
  • 新方式では、AWSアカウントを登録する過程で、AWSマネジメントコンソールを使ってCloudFormationスタックを作成する手順が必要となる(作業はほぼ自動化されています)
  • 新方式では、Cloud Automator側が認証情報を保持しないため、Cloud Automatorからのアクセスを完全に禁止させたい場合は、AWSマネジメントコンソールにて当該IAMロールを削除するだけで済むようになる

旧方式への影響

従来の方法で追加されているAWSアカウントについては、現時点でとくに変化はありません。これまで通りお使いいただけます。

セキュリティの観点からは新方式のほうがより優れた設計となっていますので、今後追加されるAWSアカウントについては新方式のご利用をおすすめします。

なお、既存のAWSアカウントを新方式に切り替えることはできません。既存のジョブや後処理が参照するAWSアカウントを新方式に切り替えたい場合は、新方式で新たにAWSアカウントを追加したうえで、各ジョブや後処理の設定を変更してください。

新方式の使い方

IAMロールを利用してAWSアカウントを追加する場合は、グループの追加ページや編集ページで「AWSアカウントの追加」ボタンを押します。

グループ追加ページのスクリーンショット

すると以下のようなダイアログが表示されます。

AWSアカウント追加ダイアログのスクリーンショット

①の「IAMロールを作成」ボタンをクリックしてください(このボタンをクリックしないとSTEP2の作業は行えません)。すると、AWSマネジメントコンソールがブラウザの別ウィンドウまたはタブで開かれるので、クイックスタートガイドの「IAMロールによるAWSアカウントの登録を行う」を参考にAWSマネジメントコンソール側でCloudFormationスタックの作成を行います。

CloudFormationスタックの作成が完了したら「IAMロールのARN」を控えて、Cloud Automator側のダイアログに戻り、②にIAMロールのARNを入力します。③にはCloud Automator内における識別用の任意の名前を入力します。

最後に「AWSアカウントの追加」ボタンを押すと一時的な仮登録が行われます。最終的な登録はまだ完了していませんので、最後にグループの追加や更新を行って、IAMロールを利用したAWSアカウントの追加は完了となります。

終わりに

今後のリリース計画は開発ロードマップページで公開しています。
これからもCloud Automatorをよろしくお願いいたします。

AWS運用自動化サービス「Cloud Automator」