メインコンテンツまでスキップ

クロスアカウント IAM ロールの作成

クロスアカウント IAM ロールを作成する必要があります。これは、CelerData Cloud BYOC コンソールの Cloud settings ページからデプロイメントを作成する前、またはデプロイメント作成のワークフローの一部として、デプロイメントクレデンシャルで参照されます。

前提条件

データクレデンシャルを作成し、データクレデンシャルロールの ARN とデータクレデンシャルバケットの名前を取得していること。

注意

データクレデンシャルで参照される IAM ロールとバケットは、このトピックではデータクレデンシャルロールとデータクレデンシャルバケットと呼ばれます。

データクレデンシャルロールの ARN とデータクレデンシャルバケットの名前を取得するには、次の手順に従います。

  1. CelerData Cloud BYOC コンソール にサインインします。

  2. 左側のナビゲーションペインで、Cloud settings > AWS を選択します。

  3. AWS Cloud ページの Data credentials タブで、作成するデプロイメントクレデンシャルに関連付けたいデータクレデンシャルをクリックします。

  4. 表示される右側のペインで、Bucket name をコピーし、後でアクセスできる場所に保存します。また、Instance profile ARN を見つけます。例えば、arn:aws:iam::081976408565:instance-profile/byoc-common から、データクレデンシャルロールの名前が byoc-common であることが推測できます。

    Data credential - Instance profile ARN

  5. IAM コンソール にログインします。

  6. Roles ページに移動し、検索ボックスに byoc-common を入力してデータクレデンシャルロールを検索します。見つけたデータクレデンシャルロールをクリックします。

  7. ロールの詳細ページで、データクレデンシャルロールの ARN(例: arn:aws:iam::081976408565:role/byoc-common)をコピーし、後でアクセスできる場所に保存します。

始める前に

デプロイメント前にクロスアカウント IAM ロールを作成するには、次の手順に従います。

  1. CelerData Cloud BYOC コンソール にサインインします。

  2. 左側のナビゲーションペインで、Cloud settings > AWS を選択します。

  3. AWS Cloud ページの Deployment credentials タブで、Create deployment credential をクリックします。

  4. Create deployment credential ダイアログボックスで、IAM policy information の JSON ポリシーテンプレート、Trust account ID、および External ID をコピーし、取得した情報を後でアクセスできる場所に保存します。

デプロイメント中にクロスアカウント IAM ロールを作成するには、次の手順に従います。

  1. CelerData Cloud BYOC コンソール にサインインします。

  2. デプロイメントウィザードを開始し、STEP2: Set up your AWS credentials に進みます。

  3. Deployment credential セクションで、デプロイメントクレデンシャルを選択または作成し、IAM policy information の横にある Generate policy をクリックし、IAM policy information で生成された JSON ポリシーテンプレート、Trust account ID、および External ID をコピーし、取得した情報を後でアクセスできる場所に保存します。

ステップ 1: クロスアカウント IAM ロールの作成

  1. 管理者権限を持つユーザーとして AWS IAM コンソール にサインインします。

  2. 左側のナビゲーションペインで、Access management > Roles を選択します。

  3. Roles ページで、Create role をクリックします。

    Create role ウィザードが表示され、3 つのステップで IAM ロールを作成するのを支援します。

  4. Select trusted entity ステップで、次のように操作します。

    a. Trusted entity type セクションで、AWS account を選択します。

    b. An AWS account セクションで、Another AWS account の横にあるチェックボックスを選択し、始める前に で取得した Trust account IDAccount ID フィールドに貼り付けます。

    c. Options セクションで、Require external ID の横にあるチェックボックスを選択し、始める前に で取得した External IDExternal ID フィールドに貼り付けます。

    d. Next をクリックします。

    Create cross-account IAM role - 1

  5. Add permissions ステップで、Next をクリックします。

  6. Name, review, and create ステップで、ロール名を入力し、オプションで説明を入力したりタグを追加したりしてから、Create role をクリックします。

    Create cross-account IAM role - 2

ステップ 2: クロスアカウント IAM ロールにインラインポリシーを追加

  1. 左側のナビゲーションペインで、Access management > Roles を選択します。

  2. Roles ページで、作成した IAM ロールを見つけてその名前をクリックします。

  3. 表示されるページの Permissions policies セクションで、Add permissions をクリックし、Create inline policy を選択します。

  4. Specify permissions ステップで、デプロイメント前またはデプロイメント中にクロスアカウント IAM ロールを作成するかに応じて、次のいずれかの操作を行います。

    • デプロイメント前にクロスアカウント IAM ロールを作成する場合:

      JSON タブをクリックし、既存の JSON ポリシードキュメントを削除し、始める前に で取得した Policy template を貼り付けます。ポリシーテンプレート内で <Storage Role ARN> をデータクレデンシャルロールの ARN に、<s3-bucket-name> をデータクレデンシャルバケットの名前に置き換えます。その後、Review policy をクリックします。

      Create cross-account IAM role - 3

    • デプロイメント中にクロスアカウント IAM ロールを作成する場合:

      JSON タブをクリックし、既存の JSON ポリシードキュメントを削除し、始める前に で取得した Policy template を貼り付けます。その後、Review policy をクリックします。

  5. Review Policy ステップで、ポリシー名を入力し、Create policy をクリックします。

    Create cross-account IAM role - 4

ステップ 3: クロスアカウント IAM ロールの ARN を取得

表示されるロール詳細ページの Summary セクションで、クロスアカウント IAM ロールの ARN をコピーし、後でアクセスできる場所に保存します。デプロイメントクレデンシャルを作成する際に ARN を提供する必要があります。

img