はじめに
本書ではAWSシングルアカウント環境をIBM Turbonomicによって管理する際に必要なターゲット接続について、AWS IAMロールを利用した手順をご紹介します。
TurbonomicはIAM IDを通じてAWS環境にAPI接続しますが、その方法は利用されているAWS環境とTurbonomic側の環境によって異なります。
AWSアカウントはシングルアカウントかマルチアカウントか?
IAMユーザでの接続を希望するか、IAMロールでの接続を希望するか?
Turbonomicのデプロイ環境は?(SaaSかオンプレか、K8s環境か?)
IAMユーザでの接続を希望するか、IAMロールでの接続を希望するか?
Turbonomicのデプロイ環境は?(SaaSかオンプレか、K8s環境か?)
Turbonomicのデプロイ環境は?(SaaSかオンプレか、K8s環境か?)
詳しくは以下マニュアルをご参照いただき、ご自身の環境にどの手段がマッチするか必ずご確認ください。
IBMマニュアル
手順概要
上記マニュアルをご確認の上
【AWSのシングルアカウント】へ
【IAMロール】を利用して
【TurbonomicのSaaS環境】から
接続する場合は以下の手順を実施してください。
1.AWSへ接続するために必要な権限を指定するIAMポリシーを作成
2.OpenID Connect (OIDC) ID プロバイダーを作成
3.IAMロールを作成
4.トラスト・ポリシーを変更
5.IAMロールをターゲット接続
実際の手順
1.Turbonomic が AWSに接続するために必要な権限を指定する IAM ポリシーを作成
IAMポリシーは、AWSリソースに対するアクセス権限を定義するJSON形式のドキュメントです。Turbonomicが必要とする権限を明示的に指定することで、最小限のアクセス権で安全に接続できます。
・ポリシーの作成
・アクセス許可を指定
・権限をコピーして添付
※ここではアクションの実行まで可能な権限を付与しています。
(https://public-cf-prod-us-east-1.s3.amazonaws.com/execution.policy.json)
・セキュリティの検証(警告は出てますが、マニュアル通り"Resource":"*"で進めます)
・ポリシー名と説明を入力して作成
2.OpenID Connect (OIDC) ID プロバイダーを作成します。
OIDC(OpenID Connect)は、IDフェデレーションを可能にする認証プロトコルです。TurbonomicはOIDCを利用してAWSに認証します。
Audienceに sts.amazonaws.com を指定することで、AWS STS(Security Token Service)を通じて一時的な認証情報を取得できます。
・プロバイダを追加
・プロバイダのタイプ(OpenID Connect)を選択し、URLを入力
※割り当てられたSaaS環境のリージョンに応じたプロバイダを記載していただく必要が
あるため、詳しくは以下をご参考ください。
リージョンごとのプロバイダ情報
・対象者(Audience)にsts.amazonaws.comと入力し作成
・サムプリントも取得されます
3.IAM 役割を作成します。
IAMロールは、TurbonomicがAWSリソースにアクセスするための一時的な権限
を付与する仕組みです。ウェブアイデンティティを使用することで、
OIDC経由での認証が可能になります。
・IAMロールの作成からウェブアイデンティティを選択し、入力
・先ほど作成したポリシーをアタッチ
・ロール名と説明を入力
・ARNをコピー
4.トラスト・ポリシーを変更します。
トラストポリシー(信頼関係)は、IAMロールがどのIDプロバイダーからのアクセスを許可するかを定義します。
TurbonomicのテナントIDとサービスアカウントを正しく設定する必要があります。
・信頼ポリシー(トラスト・ポリシー)を編集
・12行目を変更(赤枠)
< TENANT_ID> はお客様のテナントIDで、お客様のSaaS URLのサブドメインです。
< Tenant_ID>.customer.turbonomic.ibmappdomain.cloud
(今回の場合はjptest )
< TENANT_SVC_ACCOUNT> は< Tenant_ID>の末尾に-saを記載します。
(今回の場合は <jptest>-sa)
5.IAMロールをターゲット接続
TurbonomicのGUIに移動し、【ターゲット構成】からAWSを選択し、IAMロールを接続します。
ターゲットの接続時にこのようなエラーが生じた場合、IBMサポートあるいはIBMテクニカルセールスまでご連絡ください。
おわりに
いかがでしたでしょうか。TurbonomicとAWSを接続する手段は様々な方法がありますが、今回はその一例をご紹介させていただきました。よろしければご参考にしていただければと思います。
【IAMロール】を利用して
【TurbonomicのSaaS環境】から
接続する場合は以下の手順を実施してください。
1.AWSへ接続するために必要な権限を指定するIAMポリシーを作成
2.OpenID Connect (OIDC) ID プロバイダーを作成
3.IAMロールを作成
4.トラスト・ポリシーを変更
5.IAMロールをターゲット接続
実際の手順
1.Turbonomic が AWSに接続するために必要な権限を指定する IAM ポリシーを作成
IAMポリシーは、AWSリソースに対するアクセス権限を定義するJSON形式のドキュメントです。Turbonomicが必要とする権限を明示的に指定することで、最小限のアクセス権で安全に接続できます。
・ポリシーの作成
・アクセス許可を指定
・権限をコピーして添付
※ここではアクションの実行まで可能な権限を付与しています。
(https://public-cf-prod-us-east-1.s3.amazonaws.com/execution.policy.json)
・セキュリティの検証(警告は出てますが、マニュアル通り"Resource":"*"で進めます)
・ポリシー名と説明を入力して作成
2.OpenID Connect (OIDC) ID プロバイダーを作成します。
OIDC(OpenID Connect)は、IDフェデレーションを可能にする認証プロトコルです。TurbonomicはOIDCを利用してAWSに認証します。
Audienceに sts.amazonaws.com を指定することで、AWS STS(Security Token Service)を通じて一時的な認証情報を取得できます。
・プロバイダを追加
・プロバイダのタイプ(OpenID Connect)を選択し、URLを入力
※割り当てられたSaaS環境のリージョンに応じたプロバイダを記載していただく必要が
あるため、詳しくは以下をご参考ください。
リージョンごとのプロバイダ情報
・対象者(Audience)にsts.amazonaws.comと入力し作成
・サムプリントも取得されます
3.IAM 役割を作成します。
IAMロールは、TurbonomicがAWSリソースにアクセスするための一時的な権限
を付与する仕組みです。ウェブアイデンティティを使用することで、
OIDC経由での認証が可能になります。
・IAMロールの作成からウェブアイデンティティを選択し、入力
・先ほど作成したポリシーをアタッチ
・ロール名と説明を入力
・ARNをコピー
4.トラスト・ポリシーを変更します。
トラストポリシー(信頼関係)は、IAMロールがどのIDプロバイダーからのアクセスを許可するかを定義します。
TurbonomicのテナントIDとサービスアカウントを正しく設定する必要があります。
・信頼ポリシー(トラスト・ポリシー)を編集
・12行目を変更(赤枠)
< TENANT_ID> はお客様のテナントIDで、お客様のSaaS URLのサブドメインです。
< Tenant_ID>.customer.turbonomic.ibmappdomain.cloud
(今回の場合はjptest )
< TENANT_SVC_ACCOUNT> は< Tenant_ID>の末尾に-saを記載します。
(今回の場合は <jptest>-sa)
5.IAMロールをターゲット接続
TurbonomicのGUIに移動し、【ターゲット構成】からAWSを選択し、IAMロールを接続します。
ターゲットの接続時にこのようなエラーが生じた場合、IBMサポートあるいはIBMテクニカルセールスまでご連絡ください。
おわりに
いかがでしたでしょうか。TurbonomicとAWSを接続する手段は様々な方法がありますが、今回はその一例をご紹介させていただきました。よろしければご参考にしていただければと思います。
【TurbonomicのSaaS環境】から
接続する場合は以下の手順を実施してください。
1.AWSへ接続するために必要な権限を指定するIAMポリシーを作成
2.OpenID Connect (OIDC) ID プロバイダーを作成
3.IAMロールを作成
4.トラスト・ポリシーを変更
5.IAMロールをターゲット接続
実際の手順
1.Turbonomic が AWSに接続するために必要な権限を指定する IAM ポリシーを作成
IAMポリシーは、AWSリソースに対するアクセス権限を定義するJSON形式のドキュメントです。Turbonomicが必要とする権限を明示的に指定することで、最小限のアクセス権で安全に接続できます。
・ポリシーの作成
・アクセス許可を指定
・権限をコピーして添付
※ここではアクションの実行まで可能な権限を付与しています。
(https://public-cf-prod-us-east-1.s3.amazonaws.com/execution.policy.json)
・セキュリティの検証(警告は出てますが、マニュアル通り"Resource":"*"で進めます)
・ポリシー名と説明を入力して作成
2.OpenID Connect (OIDC) ID プロバイダーを作成します。
OIDC(OpenID Connect)は、IDフェデレーションを可能にする認証プロトコルです。TurbonomicはOIDCを利用してAWSに認証します。
Audienceに sts.amazonaws.com を指定することで、AWS STS(Security Token Service)を通じて一時的な認証情報を取得できます。
・プロバイダを追加
・プロバイダのタイプ(OpenID Connect)を選択し、URLを入力
※割り当てられたSaaS環境のリージョンに応じたプロバイダを記載していただく必要が
あるため、詳しくは以下をご参考ください。
リージョンごとのプロバイダ情報
・対象者(Audience)にsts.amazonaws.comと入力し作成
・サムプリントも取得されます
3.IAM 役割を作成します。
IAMロールは、TurbonomicがAWSリソースにアクセスするための一時的な権限
を付与する仕組みです。ウェブアイデンティティを使用することで、
OIDC経由での認証が可能になります。
・IAMロールの作成からウェブアイデンティティを選択し、入力
・先ほど作成したポリシーをアタッチ
・ロール名と説明を入力
・ARNをコピー
4.トラスト・ポリシーを変更します。
トラストポリシー(信頼関係)は、IAMロールがどのIDプロバイダーからのアクセスを許可するかを定義します。
TurbonomicのテナントIDとサービスアカウントを正しく設定する必要があります。
・信頼ポリシー(トラスト・ポリシー)を編集
・12行目を変更(赤枠)
< TENANT_ID> はお客様のテナントIDで、お客様のSaaS URLのサブドメインです。
< Tenant_ID>.customer.turbonomic.ibmappdomain.cloud
(今回の場合はjptest )
< TENANT_SVC_ACCOUNT> は< Tenant_ID>の末尾に-saを記載します。
(今回の場合は <jptest>-sa)
5.IAMロールをターゲット接続
TurbonomicのGUIに移動し、【ターゲット構成】からAWSを選択し、IAMロールを接続します。
ターゲットの接続時にこのようなエラーが生じた場合、IBMサポートあるいはIBMテクニカルセールスまでご連絡ください。
おわりに
いかがでしたでしょうか。TurbonomicとAWSを接続する手段は様々な方法がありますが、今回はその一例をご紹介させていただきました。よろしければご参考にしていただければと思います。
1.AWSへ接続するために必要な権限を指定するIAMポリシーを作成
2.OpenID Connect (OIDC) ID プロバイダーを作成
3.IAMロールを作成
4.トラスト・ポリシーを変更
5.IAMロールをターゲット接続
※ここではアクションの実行まで可能な権限を付与しています。
(https://public-cf-prod-us-east-1.s3.amazonaws.com/execution.policy.json)
Audienceに sts.amazonaws.com を指定することで、AWS STS(Security Token Service)を通じて一時的な認証情報を取得できます。
※割り当てられたSaaS環境のリージョンに応じたプロバイダを記載していただく必要が
あるため、詳しくは以下をご参考ください。
リージョンごとのプロバイダ情報
を付与する仕組みです。ウェブアイデンティティを使用することで、
OIDC経由での認証が可能になります。
TurbonomicのテナントIDとサービスアカウントを正しく設定する必要があります。
< TENANT_ID> はお客様のテナントIDで、お客様のSaaS URLのサブドメインです。
< Tenant_ID>.customer.turbonomic.ibmappdomain.cloud
(今回の場合は
jptest )< TENANT_SVC_ACCOUNT> は< Tenant_ID>の末尾に-saを記載します。
(今回の場合は
<jptest>-sa)ターゲットの接続時にこのようなエラーが生じた場合、IBMサポートあるいはIBMテクニカルセールスまでご連絡ください。