AWS IAMロール共有
IAM external IDを使用して、AWS上のIAMロールを管理します。 AHQ管理者設定からAWS IAMロール共有を有効にして、AHQ管理者Environmentのexternal IDを、複数の場所にある子ワークスペースEnvironment、AWS Secrets Manager、およびIAMロールをサポートするすべてのAWSコネクションに伝播できます。 つまり、AWS上のIAMロールをより便利に管理できるように、すべての子ワークスペースが親ワークスペースのexternal IDを継承します。
親ワークスペースのプロジェクトレベルexternal IDスコープ
子ワークスペースとのexternal ID共有を有効にした後は、親IAM external IDのスコープをプロジェクトレベルに変更できません。
AWS IAMロール共有のデフォルトはnoです。 つまり、各子ワークスペースEnvironmentには、自動生成される一意のexternal IDがあります。 external IDの伝播を有効にすることで、子ワークスペース管理を簡素化できます。
子ワークスペースコネクションの再設定が必要
AHQでAWS IAMロール共有を有効にすると、現在の子ワークスペースコネクションは無効になります。 すべての子コネクションを手動で切断してから再接続する必要があります。 子ワークスペースコネクションがAWS Secrets Managerを使用して作成されていた場合、依存コネクションが壊れないようにするにはclear_cache APIを呼び出す必要があります。
一部の子ワークスペースは、すでにプロジェクトレベルのexternal IDを使用している場合があります。 この場合、子ワークスペースにはプロジェクトレベルスコープのexternal IDが表示されますが、親ワークスペースのexternal IDが適用されます。
AHQのAWS IAMロール共有を有効化
AWS IAMロール共有を有効にするには、次の手順を実行します:
Workatoアカウントにサインインします。
Automation HQ > 設定に移動します。
AWS IAM role sharingをクリックします。
Use AHQ-level external ID for all managed workspacesトグルをクリックします。
Use AHQ-level external ID for all managed workspacesトグル
Use AHQ-level external ID for all managed workspaces?チェックボックスを選択し、Use AHQ-level external IDをクリックします。 これにより、管理対象ワークスペース内でワークスペースレベルまたはプロジェクト固有のexternal IDを使用しているすべての子ワークスペースコネクションが壊れ、手動で再設定する必要があることを理解したことを確認します。
Use AHQ-level external ID for all managed workspaces?チェックボックス
保存をクリックします。
ワークスペース管理者 > 設定に移動します。
サイドバーでセキュリティセクションを見つけ、Amazon Web Services IAMをクリックします。 Amazon Web Services(AWS)アクセスページが表示されます。 Managed by AHQというラベルの付いた緑色のバッジがAWSアカウントの横に表示されます。
Managed by AHQバッジ
AHQ用のIAMロールを作成
AHQワークスペースでIAMロールを作成する、external IDスコープを設定する、およびその他の設定手順を完了する方法については、AWS ServicesでIAMロールベース認証を使用するドキュメントを参照してください。
Last updated: