プライマリおよびリンクされたアカウントポリシーの作成

プライマリ Amazon Web Services (AWS) アカウント用にプライマリアカウントポリシーを、リンクされたすべての AWS アカウント用にリンクされたアカウントポリシーをそれぞれ作成する必要があります。これらのポリシーを使用して、AWS でのアクセスを管理できます。

AWS ポリシーは、ユーザーやロールなどの IAM ID に関連付けることができます。詳細については、ポリシーとアクセス許可を参照してください。

手順

AWS コンソールで、[IAM] > [ポリシー] > [ポリシーの作成] の順に移動します。
[ポリシーの作成] 画面で、[JSON] タブをクリックします。

[JSON] テキストボックスにポリシーを入力します。

オプション	説明
プライマリアカウントポリシーの追加注：プライマリアカウントポリシーは、プライマリ AWS アカウントに追加する必要があります。	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe" ], "Resource": "" }, { "Action": [ "logs:Describe", "logs:Get", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "" }, { "Effect": "Allow", "Action": [ "organizations:ListAccounts" ], "Resource": "*" }, { "Effect": "Allow", "Action": "sts:AssumeRole", "Resource": "<Role ARNs>" } ] }
リンクされたアカウントの追加注：リンクされたアカウントポリシーは、プライマリ AWS アカウントに追加されたすべてのリンクされたアカウントに追加する必要があります。	{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases" ], "Resource": [ "" ] }, { "Effect": "Allow", "Action": [ "ec2:Describe" ], "Resource": "" }, { "Action": [ "logs:Describe", "logs:Get", "logs:TestMetricFilter", "logs:FilterLogEvents" ], "Effect": "Allow", "Resource": "" } ] }

オプション

説明

プライマリアカウントポリシーの追加

注：プライマリアカウントポリシーは、プライマリ AWS アカウントに追加する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "organizations:ListAccounts"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "sts:AssumeRole",
            "Resource": "<Role ARNs>"
        }
    ]
}

リンクされたアカウントの追加

注：リンクされたアカウントポリシーは、プライマリ AWS アカウントに追加されたすべてのリンクされたアカウントに追加する必要があります。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "iam:ListAccountAliases"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:Describe*"
            ],
            "Resource": "*"
        },
        {
            "Action": [
                "logs:Describe*",
                "logs:Get*",
                "logs:TestMetricFilter",
                "logs:FilterLogEvents"
            ],
            "Effect": "Allow",
            "Resource": "*"
        }
    ]
}

[ポリシーの確認] をクリックします。
[ポリシーの確認] セクションで、ポリシー名を入力し、[ポリシーの作成] をクリックします。

次のタスク

すべてのリンクされたアカウントに 1 つずつログインし、ロールを追加して VMware Aria Operations for Networks に追加するプライマリ AWS アカウントを信頼して、リンクされたアカウントポリシーを適用します。ロールを作成し、リンクされたアカウントポリシーを関連付けるには、 AWS でのロールの作成を参照してください。

注：すべてのリンクアカウントで作成されたロールがすでに標準のポリシー権限を含んでいて、プライマリアカウントを信頼している場合は、この手順をスキップします。