user001a
3 Zinc

AWSにAvamar/DataDomainを構築するために必要なIAMユーザーアクセス権限について

ソリューションへジャンプ

いつもお世話になります。

IAMユーザーでログインしてAWSにAvamar/DataDomainを構築します。

IAMユーザーに必要な権限を教えてください。

 

AWSMarketplaceの権限は[AWSMarketplaceFullAccess]であれば間違いないと思いますが、

できれば最低限の権限を知りたいです。

また、AWSMarketplace以外の必要な権限についても教えてください。

よろしくお願いします。

0 件の賞賛
2 解決策

受理された解決策
ayas
MOD
MOD

Re: AWSにAvamar/DataDomainを構築するために必要なIAMユーザーアクセス権限について

ソリューションへジャンプ

user001aさん

 

AWS CloudFormation actionsができるUserAWSでの推奨です。

具体的には以下です。(後述資料Page14 にあります)

足りないのは"iam:UpdateRolePolicy"あたりですね。

 

"iam:AddRoleToInstanceProfile",

"iam:AttachRolePolicy",

"iam:CreateRole",

"iam:DeleteRole",

"iam:DeleteRolePolicy",

"iam:DetachRolePolicy",

"iam:GetRole",

"iam:GetRolePolicy",

"iam:ListRolePolicies",

"iam:ListRoles",

"iam:PassRole",

"iam:RemoveRoleFromInstanceProfile",

"iam:UpdateRolePolicy",

"iam:CreateInstanceProfile",

"iam:PutRolePolicy",

"iam:DeleteInstanceProfile"

 

また【必要なアクセス権限】に関する情報はData DomainD側では特に記載がありませんがuser001aさんの御認識の通りではないでしょうか。

 

参考資料:

PowerProtect DD Virtual Edition on Amazon Web Services

 

 

 Page 7

AWS recommends that you create an IAM user or role for authenticating with AWS and never use root credentials to deploy the CloudFormation template. The IAM user must be allowed to perform AWS CloudFormation actions. The EC2 instance must be granted the IAM role to provide permissions to S3 storage.

 

Page 14 (上記リスト)

元の投稿で解決策を見る

user001a
3 Zinc

Re: AWSにAvamar/DataDomainを構築するために必要なIAMユーザーアクセス権限について

ソリューションへジャンプ

ご回答ありがとうございます。

マニュアルに記載のある "iam:UpdateRolePolicy" はAWS側に権限項目がありませんようで、もう少し調べてみます。

質問としてはクローズさせていただきますが、もし"iam:UpdateRolePolicy"は誤記である等の情報がありましたら教えていただければと思います。

よろしくお願いいたします。

元の投稿で解決策を見る

0 件の賞賛
4 返答(返信)
user001a
3 Zinc

Re: AWSにAvamar/DataDomainを構築するために必要なIAMユーザーアクセス権限について

ソリューションへジャンプ

いつもお世話になっております、実際に試した結果下記の権限まで絞り込みました。
不足している権限がありましたらご指摘ください。

【必要なアクセス権限】
[AWSMarketplaceFullAccess]
[AmazonEC2FullAccess]
[AmazonS3FullAccess]
[AWSCloudFormationFullAccess]
[ComputeOptimizerReadOnlyAccess]


【上述以外に必要な作成/編集/削除が可能なAWS権限】
・IAM ロール
・ポリシー
・IAMロールにポリシーをアタッチする
・VPC
・Subnet(サブネット)
・security group(セキュリティグループ)
・Key Pair
・ネットワークACL
・インターネットゲートウェイ
・ルートテーブル
・アベイラビリティゾーン
・セキュリティグループ
・インバウンドルール
・アウトバウンドルール
・DHCP
・NTP
・DNS

0 件の賞賛
user001a
3 Zinc

Re: AWSにAvamar/DataDomainを構築するために必要なIAMユーザーアクセス権限について

ソリューションへジャンプ

何度も申し訳ありません、最終的に下記の権限が必要と考えていますが

不足がありましたら教えてください。

 

【必要なアクセス権限】
[AWSMarketplaceFullAccess]
[AmazonEC2FullAccess]
[AmazonS3FullAccess]
[AWSCloudFormationFullAccess]
[ComputeOptimizerReadOnlyAccess]
[AmazonVPCFullAccess]

【上述以外にIAMロールとポリシーを作成してロールにポリシーをアタッチする権限が必要】
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetRole",
"iam:RemoveRoleFromInstanceProfile",
"iam:ListRoles",
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:PassRole",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:ListRolePolicies",
"iam:GetRolePolicy",
"iam:ListPolicies",
"iam:GetPolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:CreatePolicy"

 

0 件の賞賛
ayas
MOD
MOD

Re: AWSにAvamar/DataDomainを構築するために必要なIAMユーザーアクセス権限について

ソリューションへジャンプ

user001aさん

 

AWS CloudFormation actionsができるUserAWSでの推奨です。

具体的には以下です。(後述資料Page14 にあります)

足りないのは"iam:UpdateRolePolicy"あたりですね。

 

"iam:AddRoleToInstanceProfile",

"iam:AttachRolePolicy",

"iam:CreateRole",

"iam:DeleteRole",

"iam:DeleteRolePolicy",

"iam:DetachRolePolicy",

"iam:GetRole",

"iam:GetRolePolicy",

"iam:ListRolePolicies",

"iam:ListRoles",

"iam:PassRole",

"iam:RemoveRoleFromInstanceProfile",

"iam:UpdateRolePolicy",

"iam:CreateInstanceProfile",

"iam:PutRolePolicy",

"iam:DeleteInstanceProfile"

 

また【必要なアクセス権限】に関する情報はData DomainD側では特に記載がありませんがuser001aさんの御認識の通りではないでしょうか。

 

参考資料:

PowerProtect DD Virtual Edition on Amazon Web Services

 

 

 Page 7

AWS recommends that you create an IAM user or role for authenticating with AWS and never use root credentials to deploy the CloudFormation template. The IAM user must be allowed to perform AWS CloudFormation actions. The EC2 instance must be granted the IAM role to provide permissions to S3 storage.

 

Page 14 (上記リスト)

元の投稿で解決策を見る

user001a
3 Zinc

Re: AWSにAvamar/DataDomainを構築するために必要なIAMユーザーアクセス権限について

ソリューションへジャンプ

ご回答ありがとうございます。

マニュアルに記載のある "iam:UpdateRolePolicy" はAWS側に権限項目がありませんようで、もう少し調べてみます。

質問としてはクローズさせていただきますが、もし"iam:UpdateRolePolicy"は誤記である等の情報がありましたら教えていただければと思います。

よろしくお願いいたします。

元の投稿で解決策を見る

0 件の賞賛