yamory の使い方

yamory へようこそ! yamory の基礎知識と使い方をご紹介します。

CloudFormation で AWS 管理アカウントを連携する

yamory の クラウドで AWS 管理アカウントをスキャンするために、CloudFormation で AWS 管理アカウントを yamory に登録する方法を説明します。

前提条件

必要な権限を以下のページにまとめております。

AWSのポリシーについて

CloudFormation を利用した AWS 管理アカウント連携手順

以下の手順で、CloudFormation を利用して AWS 管理アカウントを追加できます。

  1. 組織連携ウィザードの開始
  2. CloudFormation Stack テンプレートの発行と登録
  3. 連携する StackSet ARN の取得
  4. IAM Role ARN、StackSet ARN の登録

組織連携ウィザードの開始

「クラウド」カテゴリの「アカウント」画面から「新しいアカウントを追加」ボタンをクリックします。

<クラウドスキャン用アカウント画面>

「組織に CloudFormation で連携」を選択します。

連携方法選択CloudFormation画面

CloudFormation Stack テンプレートの発行と登録

CloudFormation Stack テンプレートの作成画面が表示されます。表示された CloudFormation 用の Stack テンプレート を「ダウンロード」ボタン (「外部ID再生成」ボタンの右のアイコン) をクリックし、テンプレートの内容をYAMLファイルとして保存します。
(YAMLファイルはクラウドでのスキャンに必要な IAM Role の信頼ポリシーを作成するために使用します)

「外部ID再生成」ボタンで、アカウント毎に外部IDを再生成できます。

外部IDとは、権限を与える際に一意の識別子を提供し、混乱する代理問題 を回避するために役立てることができます。

CloudFormation テンプレートの作成画面

次に、AWSの管理アカウントにログインし、CloudFormation の管理コンソールを開きます。
管理コンソールの左側のメニューから「スタック」をクリックして スタック一覧画面を開き、スタックの一覧が表示されている状態で、右上の「スタックの作成」ボタンをクリックします。

<CloudFormation管理画面>

ボタンメニューから「新しいリソースを使用(標準)」を選択してください。
登録時にアップロードしたテンプレートファイルはS3に保存されます。

<CloudFormationスタック作成画面>

任意のスタック名と、OrganizationalUnitIds に連携する組織単位ID(OU ID)を入力してください。

委任管理者アカウントで連携する場合は、CallAs を DELEGATED_ADMIN に変更してください。

CloudFormation Stack 命名画面

「スタックオプションの設定」での個別の設定は必要ありません。
「次へ」ボタンを押してください。

入力された内容を確認し、以下のチェックボックスにチェックをして「送信」ボタンを押してください。

<CloudFormation Stack 送信画面>

スタックの一覧画面に、登録後のスタック名が表示されます。

CloudFormation Stack 送信画面

詳細画面から「出力」タブを選択し、キー「ManagementAccountRoleArn」と「StackSetArn」の値をコピーしてください。

※スタック作成画面にて「MemberRoleName」を変更した場合は、yamory側の「MemberRoleName」もコピーしてください。

IAM Role Policy画面

IAM Role ARN、StackSet ARN の登録

yamory 側の画面へ戻り、コピーした「ManagementAccountRoleArn」を「IAM Role ARN」へ、「StackSetArn」を「StackSet ARN」へ貼り付けてから「アカウントを追加」ボタンをクリックします。

※スタック作成画面にて「MemberRoleName」を変更した場合は、yamory側の「MemberRoleName」も変更してください。

アカウント連携画面

以上でアカウントの追加は完了です。

連携内容を表示する

登録された連携内容は「その他」ボタンメニューの「連携内容を表示」で表示できます。

その他ボタンメニュー画面

「連携内容を表示」機能では外部IDの再生成が可能です。