0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

@HinanoKawahoriinIBM

【Turbonomic×AWS】IAMロールでシングルアカウント連携の設定手順

0
Last updated at Posted at 2026-01-05

はじめに

本記事では、IBM Turbonomic SaaS環境からAWS IAMロールを利用してAWSアカウントへ接続する手順をご紹介します。

接続方法は以下の要素によって異なります:

  • AWSアカウント:シングルアカウント or マルチアカウント
  • 認証方式:IAMユーザー or IAMロール
  • Turbonomic環境:SaaS or オンプレミス

本記事は シングルアカウント + IAMロール + SaaS環境 の構成を前提としています。

手順概要

# 手順 概要
1 IAMポリシーの作成 Turbonomicが必要とするAWS権限を定義
2 OIDCプロバイダーの作成 TurbonomicからのOIDC認証を受け入れる設定
3 IAMロールの作成 ウェブアイデンティティを使用したロールを作成し、ポリシーをアタッチ
4 トラストポリシーの変更 テナントIDとサービスアカウントを信頼関係に設定
5 ターゲット接続 TurbonomicのGUIからIAMロールを接続

手順1: IAMポリシーの作成

Turbonomicが必要とするAWS権限を定義するIAMポリシーを作成します。

  1. AWSコンソールで IAM > ポリシー > ポリシーの作成 をクリック
  2. JSON タブを選択
  3. 以下のダウンロードリンクからポリシーをコピーして貼り付け
  4. ポリシー名(例: TurbonomicPolicy)と説明を入力して作成
Turbonomicの操作 ダウンロードリンク
ワークロードを監視し、ワークロードに対するアクションを実行する 最小限の権限(実行あり)
ワークロードを監視します。ワークロードに対するアクションはAWSで実行されます。 最小限の権限(監視のみ)

手順2: OIDCプロバイダーの作成

OIDC(OpenID Connect)を利用してTurbonomicからAWSに認証します。

  1. IAM > IDプロバイダー > プロバイダを追加 をクリック
  2. 以下を設定:
    • プロバイダのタイプ: OpenID Connect
    • プロバイダURL: SaaS環境のリージョンに応じたURLを入力
    • 対象者 (Audience): sts.amazonaws.com
  3. プロバイダを追加 をクリック

東京リージョンに関しまして、プロバイダURLはSaaS環境のリージョンによって異なります。(2025/01/05時点)

SaaSサーバーアドレス OIDCプロバイダURL
xxxxxx.apne1h.turbonomic.ibmappdomain.cloud https://oidc.op1.openshiftapps.com/2ll72b5mnpgk6c4gio2nhl7fi99edtqm
xxxxxx.apne1.turbonomic.ibmappdomain.cloud https://oidc.op1.openshiftapps.com/2jt4f238ltov5tbgfmkjt11e0f83qr45

詳細はIBM公式ドキュメントをご確認ください。

image.png

手順3: IAMロールの作成

TurbonomicがAWSリソースにアクセスするためのIAMロールを作成します。

  1. IAM > ロール > ロールを作成 をクリック
  2. 信頼されたエンティティタイプ: ウェブアイデンティティ を選択
  3. 以下を設定:
    • IDプロバイダー: 手順2で作成したOIDCプロバイダー
    • Audience: sts.amazonaws.com
  4. 次へ をクリックし、手順1で作成したポリシーをアタッチ
  5. ロール名(例: TurbonomicRole)と説明を入力して作成
  6. 作成後、ARNをコピーして保存

手順4: トラストポリシーの変更

TurbonomicのテナントIDとサービスアカウントを信頼関係に設定します。

  1. 作成したIAMロールを選択
  2. 信頼関係 タブ > 信頼ポリシーを編集 をクリック
  3. Condition セクションの StringEquals 部分を以下のように変更:
{
            "Version": "2012-10-17",
            "Statement": [
            {
            "Effect": "Allow",
            "Principal": {
            "Federated": "<PROVIDER_URL>"
            },
            "Action": "sts:AssumeRoleWithWebIdentity",
            "Condition": {
            "StringEquals": {
            "<PROVIDER_URL>:sub": "system:serviceaccount:<TENANT_ID>:<TENANT_SVC_ACCOUNT>"
            }
            }
            }
            ]
            }
項目 説明
<TENANT_ID> SaaS URLのサブドメイン jptest(URLが jptest.customer.turbonomic.ibmappdomain.cloud の場合)
<TENANT_ID>-sa テナントIDの末尾に -sa を追加 jptest-sa

image.png
image.png

手順5: ターゲット接続

TurbonomicのGUIからIAMロールを接続します。

  1. TurbonomicのGUIにログイン
  2. Settings > Target configuration をクリック
  3. New Target > Cloud Management > AWS を選択
  4. 以下を設定:
    • 認証方式: IAM Role
    • Role ARN: 手順3でコピーしたARN
  5. Add target をクリック

おわりに

TurbonomicとAWSを接続する方法は複数ありますが、本記事ではIAMロールを利用したSaaS環境からの接続手順をご紹介しました。
次は、CloudFormationというコード既に作成されているものでもロール連携できるのか、試してみようと思います。

参考リンク

0
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
0
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?