AWS recommends that you create an IAM user or role for authenticating with AWS and never use root credentials to deploy the CloudFormation template. The IAM user must be allowed to perform AWS CloudFormation actions. The EC2 instance must be granted the IAM role to provide permissions to S3 storage.
ayas
Moderator
Moderator
•
6.5K メッセージ
1
2021年2月23日 17:00
user001aさん
AWS CloudFormation actionsができるUserがAWSでの推奨です。
具体的には以下です。(後述資料Page14 にあります)
足りないのは"iam:UpdateRolePolicy"あたりですね。
"iam:AddRoleToInstanceProfile",
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:GetRole",
"iam:GetRolePolicy",
"iam:ListRolePolicies",
"iam:ListRoles",
"iam:PassRole",
"iam:RemoveRoleFromInstanceProfile",
"iam:UpdateRolePolicy",
"iam:CreateInstanceProfile",
"iam:PutRolePolicy",
"iam:DeleteInstanceProfile"
また【必要なアクセス権限】に関する情報はData DomainD側では特に記載がありませんがuser001aさんの御認識の通りではないでしょうか。
参考資料:
PowerProtect DD Virtual Edition on Amazon Web Services
Page 7
AWS recommends that you create an IAM user or role for authenticating with AWS and never use root credentials to deploy the CloudFormation template. The IAM user must be allowed to perform AWS CloudFormation actions. The EC2 instance must be granted the IAM role to provide permissions to S3 storage.
Page 14 (上記リスト)
user001a
1 Rookie
1 Rookie
•
340 メッセージ
0
2021年2月23日 19:00
ご回答ありがとうございます。
マニュアルに記載のある "iam:UpdateRolePolicy" はAWS側に権限項目がありませんようで、もう少し調べてみます。
質問としてはクローズさせていただきますが、もし"iam:UpdateRolePolicy"は誤記である等の情報がありましたら教えていただければと思います。
よろしくお願いいたします。
user001a
1 Rookie
1 Rookie
•
340 メッセージ
0
2021年2月23日 04:00
いつもお世話になっております、実際に試した結果下記の権限まで絞り込みました。
不足している権限がありましたらご指摘ください。
【必要なアクセス権限】
[AWSMarketplaceFullAccess]
[AmazonEC2FullAccess]
[AmazonS3FullAccess]
[AWSCloudFormationFullAccess]
[ComputeOptimizerReadOnlyAccess]
【上述以外に必要な作成/編集/削除が可能なAWS権限】
・IAM ロール
・ポリシー
・IAMロールにポリシーをアタッチする
・VPC
・Subnet(サブネット)
・security group(セキュリティグループ)
・Key Pair
・ネットワークACL
・インターネットゲートウェイ
・ルートテーブル
・アベイラビリティゾーン
・セキュリティグループ
・インバウンドルール
・アウトバウンドルール
・DHCP
・NTP
・DNS
user001a
1 Rookie
1 Rookie
•
340 メッセージ
0
2021年2月23日 07:00
何度も申し訳ありません、最終的に下記の権限が必要と考えていますが
不足がありましたら教えてください。
【必要なアクセス権限】
[AWSMarketplaceFullAccess]
[AmazonEC2FullAccess]
[AmazonS3FullAccess]
[AWSCloudFormationFullAccess]
[ComputeOptimizerReadOnlyAccess]
[AmazonVPCFullAccess]
【上述以外にIAMロールとポリシーを作成してロールにポリシーをアタッチする権限が必要】
"iam:CreateInstanceProfile",
"iam:DeleteInstanceProfile",
"iam:GetRole",
"iam:RemoveRoleFromInstanceProfile",
"iam:ListRoles",
"iam:CreateRole",
"iam:DeleteRole",
"iam:AttachRolePolicy",
"iam:PutRolePolicy",
"iam:AddRoleToInstanceProfile",
"iam:PassRole",
"iam:DetachRolePolicy",
"iam:DeleteRolePolicy",
"iam:ListRolePolicies",
"iam:GetRolePolicy",
"iam:ListPolicies",
"iam:GetPolicyVersion",
"iam:ListAttachedRolePolicies",
"iam:CreatePolicy"