プライマリ Amazon Web Services (AWS) アカウント用にプライマリ アカウント ポリシーを、リンクされたすべての AWS アカウント用にリンクされたアカウント ポリシーをそれぞれ作成する必要があります。これらのポリシーを使用して、AWS でのアクセスを管理できます。

AWS ポリシーは、ユーザーやロールなどの IAM ID に関連付けることができます。詳細については、 ポリシーとアクセス許可を参照してください。

手順

  1. AWS コンソールで、[IAM] > [ポリシー] > [ポリシーの作成] の順に移動します。
  2. [ポリシーの作成] 画面で、[JSON] タブをクリックします。
  3. [JSON] テキスト ボックスにポリシーを入力します。
    オプション 説明
    プライマリ アカウント ポリシーの追加
    注: プライマリ アカウント ポリシーは、プライマリ AWS アカウントに追加する必要があります。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "iam:ListAccountAliases"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:Describe*"
                ],
                "Resource": "*"
            },
            {
                "Action": [
                    "logs:Describe*",
                    "logs:Get*",
                    "logs:TestMetricFilter",
                    "logs:FilterLogEvents"
                ],
                "Effect": "Allow",
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "organizations:ListAccounts"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": "sts:AssumeRole",
                "Resource": "<Role ARNs>"
            }
        ]
    }
    リンクされたアカウントの追加
    注: リンクされたアカウント ポリシーは、プライマリ AWS アカウントに追加されたすべてのリンクされたアカウントに追加する必要があります。
    {
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "iam:ListAccountAliases"
                ],
                "Resource": [
                    "*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:Describe*"
                ],
                "Resource": "*"
            },
            {
                "Action": [
                    "logs:Describe*",
                    "logs:Get*",
                    "logs:TestMetricFilter",
                    "logs:FilterLogEvents"
                ],
                "Effect": "Allow",
                "Resource": "*"
            }
        ]
    }
  4. [ポリシーの確認] をクリックします。
  5. [ポリシーの確認] セクションで、ポリシー名を入力し、[ポリシーの作成] をクリックします。

次のタスク

すべてのリンクされたアカウントに 1 つずつログインし、ロールを追加して vRealize Network Insight Cloud に追加するプライマリ AWS アカウントを信頼して、リンクされたアカウント ポリシーを適用します。ロールを作成し、リンクされたアカウント ポリシーを関連付けるには、 AWS でのロールの作成を参照してください。
注: すべてのリンク アカウントで作成されたロールがすでに標準のポリシー権限を含んでいて、プライマリ アカウントを信頼している場合は、この手順をスキップします。