AWSサービスにIAMロールベース認証を使用する
AWS IAMロール認証を使用すると、Workatoで使用する専用ロールをAWSインスタンスに用意できます。 専用IAMプロファイルをプロビジョニングすることで、AWSインスタンスの所有者はAWSセキュリティ資格情報を共有せずに、WorkatoにAWSリソースへのアクセス権を付与できます。 これにより、サードパーティアプリケーション(たとえばWorkato)で許可されている特定のAWSサービスおよびアクションへの制御されたアクセスなど、権限の境界を維持することもできます。 IAMロールベース認証を使用してコネクションを設定する場合、使用するExternal IDのスコープをワークスペースまたはプロジェクトレベルに設定できます。
プロジェクトレベルのスコープを持つExternal IDを使用してIAMロールを設定すると、個々のプロジェクトにAWSリソースへのより詳細なアクセス権を付与できます。 たとえば、ワークスペース内のすべてのプロジェクトからアクセスできるようにするのではなく、"DevOps"プロジェクトのみにAmazon SQSへのアクセスを許可できます。
サポートされているコネクター
次のAWSサービスおよびユニバーサルコネクターでIAMロールベース認証をサポートしています。
- Amazon Lex
- Amazon S3
- Amazon SES
- AWS Lambda
- AWS SQS
- AWS SNS
- Cloud Watch
- HTTP Universal Connector
前提条件
以下が必要です。
- Amazon Web Services (AWS)で:
- IAM権限ポリシーを作成および変更できる権限
- IAMロールを作成および変更できる権限
IAM External IDのスコープを選択する
Workatoにサインインします。
ワークスペース管理者 > 設定 > Amazon Web Services IAMに移動します。
External ID scopeドロップダウンメニューを使用して、ワークスペース用の単一External IDまたは各プロジェクト用の個別External IDを選択します。
外部スコープ
ワークスペースのExternal IDを使用する既存のコネクション認証情報がある場合、Workatoは、IAMロールを更新する必要があるアクティブなコネクションのリストを表示して、選択内容の確認を求めます。 複数のプロジェクトレベルのExternal IDからワークスペース用の単一External IDに切り替える場合は、その逆になります。
External ID選択の確認
個別のExternal IDを使用または単一のExternal IDを使用をクリックして、選択内容を確認します。
IAMロールを作成する
IAMロールを作成するには:
AWS Consoleに移動し、Security Credentialsを選択します。
セキュリティ認証情報
Roles > Create roleを選択します。
ロールを作成
Trusted entity typeでAWS accountを選択します。
Another AWS accountを選択し、Workato AWSアカウントID(353360065216)を入力します。
Require external IDチェックボックスを選択し、Workatoで生成されたExternal IDを指定します。
- 各Workatoユーザーには一意のExternal ID(たとえば
workato-user-84762)があります。 WorkatoでAWSの使用方法をより詳細に制御する場合は、External IDのスコープを変更して、プロジェクトレベルでコネクションを設定できます。 詳細については、Secrets managementを参照してください。
AmazonアカウントID
WORKATO EXTERNAL IDを確認する
WorkatoでExternal IDを確認するには:
Workatoにサインインします。
ワークスペース管理者 > 設定 > Amazon Web Services IAMに移動します。
External IDのスコープをワークスペースレベルからプロジェクトレベルに、またはその逆に切り替えた場合は、WorkatoのAWSコネクションを有効にするために、そのロールのExternal IDを更新する必要があります。 これを行うには、"Trust relationships"を選択し、承認されたExternal IDの値を変更します。 たとえば、External ID値をworkato_iam_external_id_12345から、workato_iam_external_id_12345_6789のようなプロジェクトレベルのスコープを持つExternal IDに置き換えます。
Workatoがアカウントで自動化されたワークフローを実行するための適切な権限を選択します。
IAMロールのRole nameとDescriptionを指定します。
- Workatoでは、ロール名でARN内の推測困難な
resource-idを使用せず、External IDを含めないことをお勧めします。
任意です。 Select trusted entitiesステップで、Editをクリックして信頼されたエンティティのポリシーを追加または編集します。
任意です。 Add permissionsステップで、Editをクリックして権限を追加または編集します。
任意です。 オブジェクトタグを使用している場合は、このIAMロールに適切なタグを選択します。
ロールを確認して作成
Create roleをクリックします。
IAMアクセス許可ポリシーを作成する
AWS Consoleに移動し、IAMコンソールを開きます。
Access management > Policiesを選択します。
Create Policyをクリックします。
Workatoにアクセスを許可する予定のAWSサービスを探して選択します。
Actionsフィールドで必要な権限を選択します。
ロールにアクセスを許可する予定のリソースを指定します。
ベストプラクティス
Workatoでは、特定のリソースへのアクセス権を付与することをお勧めします。 最小限の権限の付与を実現するために条件キーを使用する方法の詳細については、Amazonのドキュメントを参照してください。
ページは次のようになります。

Review policyページに到達するまでNextをクリックします。
ポリシーのNameを入力します。
完了したらCreate policyをクリックします。
IAMロールARNを取得する
コネクション設定に必要なRole ARNを取得するには:
AWS Console > My Security Credentials > Rolesに移動します。
セキュリティ認証情報
検索ボックスを使用して、コネクションに使用する予定のARNを持つIAMロールを見つけ、ロールを選択して概要を表示します。
IAMロールを選択
Role ARNをコピーします。 WorkatoでAmazonコネクションを作成する際は、コネクション設定でこれを使用する必要があります。
ロールARNをコピー
WorkatoにRole ARNを追加する
Workatoにサインインします。
Connectionsタブに移動し、Create > Connectionをクリックするか、Cを2回押します。
New connectionページで、サポートされているコネクターを検索して選択します。
コネクション名フィールドにコネクションの名前を入力します。
コネクションを保存する予定のプロジェクトまたはフォルダを選択するには、ロケーションドロップダウンメニューを使用します。
Authorization typeドロップダウンメニューからIAM roleを選択します。
IAM Role ARNフィールドにARN値を貼り付け、AWSサービスに必要なその他のフィールド(たとえばRegion)をすべて入力します。

接続をクリックします。
Last updated: