AWS IAMコンソールでAWSリソースへのReadOnlyアクセスを設定する方法

AWS IAMコンソールでAWSリソースへのReadOnlyアクセスを設定する方法

Site24x7はAWSリソースにAPIコールを行い、パフォーマンスメトリクスやメタデータの収集を行います。そのためには、ユーザー(AWSアカウント保有者)はSite24x7がAWSアカウントに接続する許可を与える必要があります。AWSアカウント保有者は2つの方法で許可を与えられます。IAMユーザー作成とクロスアカウントIAMロールアクセスの2つです。


IAMユーザー作成
AWSのIAM (Identity and Access Management) コンソールにログインし、Site24x7をIAMユーザーとして作成します。ポリシー権限を割り当て、アクセスキー(アクセスキーIDとシークレットアクセスキー)を生成します。

クロスアカウントIAMロールアクセス
AWSのIAM (Identity Access Management) コンソールにログインし、AWSアカウントとSite24x7のAWSアカウントについてクロスアカウントIAMロールを作成します。Site24x7のアカウントID、ユニーク外部IDを作成し、ポリシー権限を割り当て、RoleARNを生成します。

実行後、Site24x7のコンソールで、アクセスキー(アクセスキーIDとシークレットアクセスキー)またはRoleARNを貼り付けることにより監視がスタートできるようになります。

ポリシーと権限 
方法に関わらず、AWS root アカウント保有者または管理者はSite24x7に権限を割り当てる必要があります。それにより、アクセスできるAWSリソースに対してAPIコールを行えるようになります。

ポリシーの割り当て 

管理ポリシー:

  1. AWSのrootアカウント保有者はデフォルトのIAM管理ポリシー("ReadOnly Access")をSite24x7に割り当てられます。この権限では多くのAWSサービスのアクティブなリソースに対してReadOnlyアクセスが提供されます。
  2. rootアカウント保有者は特定のポリシー権限を割り当てることによりSite24x7の監視の範囲を制限することも可能です。例えば、監視をEC2インスタンスと関連サービスに制限したい場合、デフォルトの"Amazon EC2 ReadOnly"を割り当てることで対応できます。
インラインポリシー:

完全なAWSインフラストラクチャー監視を行うには、Site24x7がサポートしているすべてのAWSリソースをディスカバリーする必要があります。これを行うには、インラインポリシーとしてカスタムポリシーJSONを用いることで可能です。このポリシーでは、Site24x7に以下のAWSサービスとリソースに対してReadOnlyアクセスが与えられます。
  1. Auto Scaling
  2. AWS CloudWatch
  3. Amazon Elastic Compute Cloud (EC2)
  4. Amazon Relational Database Service (RDS)
  5. Amazon Simple Storage Service (S3)
  6. Amazon Route 53
  7. Amazon Elastic Load Balancer (Classic) and Application type.
  8. Amazon Simple Notification Service (SNS)
  9. DynamoDB 
特定のAWSリソースを監視する特定の権限をもつポリシーを作成することも可能です。詳細についてはこちらのドキュメントをご参照ください。

    • Related Articles

    • Linuxサーバー監視でのCPU使用率の計算方法

      CPU使用率は 'top' コマンドを用いて計算されます。 CPU使用率 = 100 - アイドル時間(idle time) 例: アイドル値(idle value) = 93.1 CPU使用率 = ( 100 - 93.1 ) = 6.9% サーバーがAWSインスタンスの場合、CPU使用率は次の式で計算されます: CPU 使用率 = 100 - idle_time - steal_time 関連ドキュメント: Linuxサーバー監視でのメモリ使用率の計算方法 ...

    • エージェントのアクセスに必要なポート・IPアドレスのホワイトリスト

      サーバー監視エージェントはHTTPSを用いてSite24x7のセントラルサーバーと通信を行います。この通信を確立するのに、次のドメインとポートにアクセスします。 ドメイン:plus.site24x7.com(プライマリーデータセンター)、plus2.site24x7.com(障害復旧データセンター)、plus3.site24x7.com(障害復旧データセンター)、logu.site24x7.com(ログレシーバー)、http://staticdownloads.site24x7.com/ ...

    • 比較:Site24x7 - EventLog Analyzer

      本ナレッジでは、「Site24x7アプリケーションログ」と、弊社製品である「EventLog Analyzer(以下、ELA)」の導入方法や機能等の比較をご紹介します。 〇EventLog Analyzerについて 組織ネットワークで生成されるあらゆる種類のログを一元管理(収集・監視・長期保存)できます。 収集したログをダッシュボードやレポートに表示できるほか、指定した条件にマッチした際に、アラートやログ出力など行えるワークフローも構成できます。 〇動作要件 Site24x7 ...