AWSサービスにIAMロールベース認証を使用する

このページは機械翻訳により提供されています。翻訳内容と英語版に相違がある場合は、英語版が優先されます。

AWS IAMロール認証を使用すると、Workatoで使用する専用ロールをAWSインスタンスに用意できます。 専用IAMプロファイルをプロビジョニングすることで、AWSインスタンスの所有者はAWSセキュリティ資格情報を共有せずに、WorkatoにAWSリソースへのアクセス権を付与できます。 これにより、サードパーティアプリケーション(たとえばWorkato)で許可されている特定のAWSサービスおよびアクションへの制御されたアクセスなど、権限の境界を維持することもできます。 IAMロールベース認証を使用してコネクションを設定する場合、使用するExternal IDのスコープをワークスペースまたはプロジェクトレベルに設定できます。

プロジェクトレベルのスコープを持つExternal IDを使用してIAMロールを設定すると、個々のプロジェクトにAWSリソースへのより詳細なアクセス権を付与できます。 たとえば、ワークスペース内のすべてのプロジェクトからアクセスできるようにするのではなく、"DevOps"プロジェクトのみにAmazon SQSへのアクセスを許可できます。

サポートされているコネクター

次のAWSサービスおよびユニバーサルコネクターでIAMロールベース認証をサポートしています。

  • Amazon Lex
  • Amazon S3
  • Amazon SES
  • AWS Lambda
  • AWS SQS
  • AWS SNS
  • Cloud Watch
  • HTTP Universal Connector

前提条件

以下が必要です。

  • Amazon Web Services (AWS)で:
    • IAM権限ポリシーを作成および変更できる権限
    • IAMロールを作成および変更できる権限

IAM External IDのスコープを選択する

1

Workatoにサインインします。

2

ワークスペース管理者 > 設定 > Amazon Web Services IAMに移動します。

3

External ID scopeドロップダウンメニューを使用して、ワークスペース用の単一External IDまたは各プロジェクト用の個別External IDを選択します。

AWSアクセスの外部スコープ外部スコープ

ワークスペースのExternal IDを使用する既存のコネクション認証情報がある場合、Workatoは、IAMロールを更新する必要があるアクティブなコネクションのリストを表示して、選択内容の確認を求めます。 複数のプロジェクトレベルのExternal IDからワークスペース用の単一External IDに切り替える場合は、その逆になります。

個別External IDの確認External ID選択の確認

4

個別のExternal IDを使用または単一のExternal IDを使用をクリックして、選択内容を確認します。

IAMロールを作成する

IAMロールを作成するには:

1

AWS Consoleに移動し、Security Credentialsを選択します。

セキュリティ認証情報セキュリティ認証情報

2

Roles > Create roleを選択します。

ロールを作成ロールを作成

3

Trusted entity typeAWS accountを選択します。

4

Another AWS accountを選択し、Workato AWSアカウントID353360065216)を入力します。

5

Require external IDチェックボックスを選択し、Workatoで生成されたExternal IDを指定します。

  • 各Workatoユーザーには一意のExternal ID(たとえばworkato-user-84762)があります。 WorkatoでAWSの使用方法をより詳細に制御する場合は、External IDのスコープを変更して、プロジェクトレベルでコネクションを設定できます。 詳細については、Secrets managementを参照してください。

AmazonアカウントIDAmazonアカウントID

WORKATO EXTERNAL IDを確認する

WorkatoでExternal IDを確認するには:

1

Workatoにサインインします。

2

ワークスペース管理者 > 設定 > Amazon Web Services IAMに移動します。

External IDのスコープをワークスペースレベルからプロジェクトレベルに、またはその逆に切り替えた場合は、WorkatoのAWSコネクションを有効にするために、そのロールのExternal IDを更新する必要があります。 これを行うには、"Trust relationships"を選択し、承認されたExternal IDの値を変更します。 たとえば、External ID値をworkato_iam_external_id_12345から、workato_iam_external_id_12345_6789のようなプロジェクトレベルのスコープを持つExternal IDに置き換えます。

6

Workatoがアカウントで自動化されたワークフローを実行するための適切な権限を選択します。

7

IAMロールのRole nameDescriptionを指定します。

  • Workatoでは、ロール名でARN内の推測困難なresource-idを使用せず、External IDを含めないことをお勧めします。
8

任意です。 Select trusted entitiesステップで、Editをクリックして信頼されたエンティティのポリシーを追加または編集します。

9

任意です。 Add permissionsステップで、Editをクリックして権限を追加または編集します。

10

任意です。 オブジェクトタグを使用している場合は、このIAMロールに適切なタグを選択します。

確認して作成ロールを確認して作成

11

Create roleをクリックします。

IAMアクセス許可ポリシーを作成する

1

AWS Consoleに移動し、IAMコンソールを開きます。

2

Access management > Policiesを選択します。

3

Create Policyをクリックします。

4

Workatoにアクセスを許可する予定のAWSサービスを探して選択します。

5

Actionsフィールドで必要な権限を選択します。

6

ロールにアクセスを許可する予定のリソースを指定します。

ベストプラクティス

Workatoでは、特定のリソースへのアクセス権を付与することをお勧めします。 最小限の権限の付与を実現するために条件キーを使用する方法の詳細については、Amazonのドキュメントを参照してください。

ページは次のようになります。

AWS Create Policy画面で設定されたIAMアクセスポリシー

7

Review policyページに到達するまでNextをクリックします。

8

ポリシーのNameを入力します。

9

完了したらCreate policyをクリックします。

IAMロールARNを取得する

コネクション設定に必要なRole ARNを取得するには:

1

AWS Console > My Security Credentials > Rolesに移動します。

セキュリティ認証情報セキュリティ認証情報

2

検索ボックスを使用して、コネクションに使用する予定のARNを持つIAMロールを見つけ、ロールを選択して概要を表示します。

IAMロールを選択IAMロールを選択

3

Role ARNをコピーします。 WorkatoでAmazonコネクションを作成する際は、コネクション設定でこれを使用する必要があります。

ロールARNをコピーロールARNをコピー

WorkatoにRole ARNを追加する

1

Workatoにサインインします。

2

Connectionsタブに移動し、Create > Connectionをクリックするか、Cを2回押します。

3

New connectionページで、サポートされているコネクターを検索して選択します。

4

コネクション名フィールドにコネクションの名前を入力します。

5

コネクションを保存する予定のプロジェクトまたはフォルダを選択するには、ロケーションドロップダウンメニューを使用します。

6

Authorization typeドロップダウンメニューからIAM roleを選択します。

7

IAM Role ARNフィールドにARN値を貼り付け、AWSサービスに必要なその他のフィールド(たとえばRegion)をすべて入力します。

WorkatoにRole ARNを追加

8

接続をクリックします。

Last updated: