AWS での IAM ユーザー・プロファイルと権限の計画

AWS で IBM Spectrum Virtualize for Public Cloud ソフトウェアをデプロイおよび管理するには、IBM Spectrum Virtualize for Public Cloud ソフトウェアに必要な AWS サービスとリソースを実行および管理するための特定の権限を持つユーザー・プロファイルを、Amazon Identity and Access Management (IAM) サービスで作成する必要があります。

IAM ユーザー・プロファイル

IBM Spectrum Virtualize for Public Cloud ソフトウェアをインストールおよび管理する前に、2 つのユーザー・プロファイルを定義することをお勧めします。

インストーラー・ユーザー・プロファイル

インストーラー・ユーザー・プロファイルは、AWS での IBM Spectrum Virtualize for Public Cloud ソフトウェアのデプロイメントに必要です。これには、購入、インスタンスの作成、および構成に関するリソースの削除に関連するアクションのための追加権限も含まれます。インストーラー・ユーザー・プロファイルは、AWS Marketplace 内でインストール・テンプレートを実行する前に AWS IAM 管理コンソールで作成する必要があります。権限が割り当てられていないと、IBM Spectrum Virtualize for Public Cloud ソフトウェアを正しくインストールするために必要なアクションは失敗します。 AWS のデフォルトの管理者プロファイルを使用して IBM Spectrum Virtualize for Public Cloud ソフトウェアをインストールすることも、また、ソフトウェアのデプロイに必要な権限のみを含むインストーラー・ユーザー・プロファイルを作成することもできます。詳しくは、IAM ユーザー・プロファイルの作成を参照してください。

インストーラー・ユーザー・プロファイルは、必ず以下の AWS サービス関連の権限を含めて作成してください。

表 1. インストーラー・ユーザー・プロファイルの権限および許可されるアクション
AWS サービス	権限の名前	説明	許可されるアクション
Amazon Simple Storage Service (S3) の権限	s3	IBM Spectrum Virtualize for Public Cloud テンプレートを含むリポジトリーへのアクセスに必要です。	CreateBucket DeleteBucket DeleteObject GetObject ListAllMyBuckets PutObject
Amazon Identity and Access Management (IAM) サービス	iam	必要な IAM 役割を作成して EC2 インスタンスに割り当てるために、インストーラー・ユーザー・プロファイルで必要です。詳しくは、IAM 役割を参照してください。	AddRoleToInstanceProfile CreateInstanceProfile CreateRole DeleteRole DeleteRolePolicy GetRole GetInstanceProfile ListInstanceProfiles ListRoles PassRoles PutRolePolicy RemoveRoleFromInstanceProfile
Simple Notification Service	sns	IBM Spectrum Virtualize for Public Cloud ソフトウェアのインストールと管理に関連するメッセージを送受信するために、インストーラー・ユーザー・プロファイルで必要です。	CreateTopic DeleteTopic GetParameters GetTopicAttribute ListTopics Subscribe Unsubscribe
AWS CloudFormation サービス	cloudformation	CloudFormation スタック内で IBM Spectrum Virtualize for Public Cloud インストール・テンプレートを実行するために必要です。	CreateChangeSet CreateStack CreateUploadBucket DeleteStack DeleteChangeSet DescribeChangeSet DescribeStackEvents DescribeStackResources DescribeStacks GetStackPolicy GetTemplate GetTemplateSummary ListStackResources ListStacks SetStackPolicy UpdateStack UpdateTerminationProtection
Amazon Elastic Compute Cloud (Amazon EC2) サービス	ec2	IBM Spectrum Virtualize for Public Cloud ソフトウェアを実行する EC2 インスタンスの作成と変更に必要です。	AllocateAddress AssignPrivateIpAddresses AssociateAddress AssociateDhcpOptions AssociateRouteTable AttachInternetGateway AttachNetworkInterface AttachVolume AuthorizeSecurityGroupIngress CreateDefaultSubnet CreateDefaultVpc CreateDhcpOptions CreateInternetGateway CreateKeyPair CreateNatGateway CreateNetworkInterface CreateNetworkInterfacePermission CreatePlacementGroup CreateRoute CreateRouteTable CreateSecurityGroup CreateSubnet CreateTags CreateVolume CreateVpc CreateVpcEndpoint DetachInternetGateway DetachNetworkInterface DetachVolume DeleteDhcpOptions DeleteInternetGateway DeleteKeyPair DeleteNatGateway DeleteNetworkInterface DeleteNetworkInterfacePermission DeletePlacementGroup DeleteRoute DeleteRouteTable DeleteSecurityGroup DeleteSubnet DeleteTags DeleteVolume DeleteVpc DeleteVpcEndpoints Describe* DisassociateAddress DisassociateRouteTable Get* ModifyInstancePlacement ModifyNetworkInterfaceAttribute ModifyVolumeAttribute ModifyVpcAttribute RebootInstances ReleaseAddress RevokeSecurityGroupEgress RunInstances StartInstances StopInstances TerminateInstances
AWS Systems Manager サービス	ssm	EC2 インスタンス間でのパラメーターの受け渡しに必要です。	DescribeParameters
AWS Secrets Manager サービス	secretmanager	IBM Spectrum Virtualize for Public Cloud ソフトウェアの管理者のパスワードを管理するために必要です。	CreateSecret DeleteSecret TagResource

詳しくは、IAM ユーザー・プロファイルの作成を参照してください。

ユーザー・プロファイル

追加のユーザー・プロファイルを、独自の IT セキュリティー・ポリシーに基づいて定義できます。これらのユーザーの権限は、日常の作業の一環で行うアクションに制限することをお勧めします。これらのユーザー・プロファイルは、IBM Spectrum Virtualize for Public Cloud ソフトウェアを EC2 インスタンスにインストールする場合は必要ありません。このユーザー・プロファイルを持つすべてのユーザーは、インスタンスやリソースの注文と作成での限定的な権限を保有しますが、それらの権限とアクションに基づく作業の一環として EC2 リソースにアクセスできます。

表 2. ユーザー・プロファイルの権限および許可されるアクション
AWS サービス	権限の名前	説明	許可されるアクション
Amazon Elastic Compute Cloud (Amazon EC2) サービス	ec2	構成で使用される EC2 インスタンスについて説明します。	RebootInstances StartInstances StopInstances
Amazon Identity and Access Management (IAM) サービス	iam	EC2 インスタンスに関連付けられている役割情報について説明します。	GetRole GetRolePolicy ListAttachedRolePolicies ListInstanceProfiles ListPolicies ListRolePolicies ListRoles ListRoleTags
Amazon Secrets Manager	secretsmanager	IBM Spectrum Virtualize for Public Cloud ソフトウェアの管理者のパスワードを管理するために必要です。	CreateSecret DeleteSecret TagResource

詳しくは、IAM ユーザー・プロファイルの作成を参照してください。

IAM 役割

インストール・テンプレートでは、2 つの IAM 役割が作成されます。第 1 の IAM 役割は、IBM Spectrum Virtualize for Public Cloud ソフトウェアを実行する EC2 インスタンスで使用されます。第 2 の IAM 役割は、構成のクォーラム管理用の EC2 インスタンスで使用されます。それぞれの役割ごとに、権限と許可されるアクションが固有に組み合わされて設定されます。

表 3. IBM Spectrum Virtualize for Public Cloud ソフトウェアを実行する EC2 インスタンスに対する IAM 役割の権限およびアクション
権限およびアクション	説明
ec2:AssignPrivateIpAddresses	IP フェイルオーバー時に第 2 のノードに管理 IP アドレスを自動的に割り当てます。IP フェイルオーバーは EC2 インスタンス上の構成ノードに障害が発生したときに行われ、システム全体の管理が構成内の第 2 のノードに移行されます。
ec2:AttachVolume	IBM Spectrum Virtualize for Public Cloud ソフトウェアで addmdisk コマンドが実行されたときに、EBS ボリュームを EC2 インスタンスに接続します。
ec2:CreateTags	IBM Spectrum Virtualize for Public Cloud ソフトウェアで排他的に使用されるリソースにマーク付けするタグを作成します。
ec2:DescribeVolumes	IBM Spectrum Virtualize for Public Cloud ソフトウェアで detectmdisk コマンドが実行されたときに、使用可能なすべての EBS ボリュームを取得します。
ec2:DetachVolume	IBM Spectrum Virtualize for Public Cloud ソフトウェアで rmmdisk コマンドが実行されたときに、EBS ボリュームを EC2 インスタンスから切り離します。
ec2:DeleteTags	IBM Spectrum Virtualize for Public Cloud ソフトウェア用に作成されたタグを削除します。
ec2:DescribeInstances	EC2 インスタンスを取得します。
ec2:DescribeTags	IBM Spectrum Virtualize for Public Cloud ソフトウェアによって作成されたタグを取得します。
ec2:DescribeVpcEndpoints	IBM Spectrum Virtualize for Public Cloud のインストール時に作成される構成済みエンドポイントを照会します。
ec2:StartInstances	EC2 インスタンスの計画された電源オフの後に、インスタンスを再始動します。
ssm:DescribeParameters	IBM Spectrum Virtualize for Public Cloud のインストール時に使用されるパラメーターを照会します。
ssm:GetParameter	IBM Spectrum Virtualize for Public Cloud のインストール時に使用されたパラメーターを取得します。
sns:Publish	IBM Spectrum Virtualize for Public Cloud のインストール時、ユーザーへの通知用の送信メールを行っているときに、ユーザーに E メール通知を送信します。

IBM Spectrum Virtualize for Public Cloud ソフトウェアを実行する、ノード構成用の 2 つの EC2 インスタンスに加え、インストール時に IP クォーラムを管理するための第 3 の EC2 インスタンスが作成されます。このインスタンスは、ノード間の通信が中断された場合にクォーラム・ディスクとして機能します。このインスタンスではデプロイメント・プロセスもモニターされ、何らかの追加アクセスが必要になります。

表 4. IP クォーラム管理を実行する EC2 インスタンスの IAM 役割の権限およびアクション
権限およびアクション	説明
ec2:DescribeInstances	EC2 インスタンスを取得します。
ec2:DescribeSubnets	サブネットを取得します。
cloudformation:ListStacks	IBM Spectrum Virtualize for Public Cloud インストールのスタックの状況を照会します。
cloudformation:SetStackPolicy	IBM Spectrum Virtualize for Public Cloud インストールのスタック用にポリシーを作成します。
secretsmanager:DeleteSecret	IBM Spectrum Virtualize for Public Cloud ソフトウェアが排他的に使用する資格情報の機密事項を削除します。
secretsmanager:GetSecretValue	暗号化されたデータをユーザーが取得および暗号化解除できるようにします。
ssm:DeleteParameters	IBM Spectrum Virtualize for Public Cloud のインストール中にパラメーターを消去します。
sns:Publish	IBM Spectrum Virtualize for Public Cloud のインストール時、ユーザーへの通知用の送信メールを行っているときに、ユーザーに E メール通知を送信します。
ssm:PutParameter	IBM Spectrum Virtualize for Public Cloud のインストール中にスタックのプロセスを管理します。