1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

IBM Turbonomic SaaS環境からAWS IAMロール利用してAWSシングルアカウント環境へ接続する手順

Last updated at Posted at 2025-09-03

はじめに

本書ではAWSシングルアカウント環境をIBM Turbonomicによって管理する際に必要なターゲット接続について、AWS IAMロールを利用した手順をご紹介します。

TurbonomicはIAM IDを通じてAWS環境にAPI接続しますが、その方法は利用されているAWS環境とTurbonomic側の環境によって異なります。

AWSアカウントはシングルアカウントかマルチアカウントか?
IAMユーザでの接続を希望するか、IAMロールでの接続を希望するか?
Turbonomicのデプロイ環境は?(SaaSかオンプレか、K8s環境か?) 

詳しくは以下マニュアルをご参照いただき、ご自身の環境にどの手段がマッチするか必ずご確認ください。
IBMマニュアル

手順概要

上記マニュアルをご確認の上

【AWSのシングルアカウント】へ
【IAMロール】を利用して
【TurbonomicのSaaS環境】から

接続する場合は以下の手順を実施してください。

1.AWSへ接続するために必要な権限を指定するIAMポリシーを作成
2.OpenID Connect (OIDC) ID プロバイダーを作成
3.IAMロールを作成
4.トラスト・ポリシーを変更
5.IAMロールをターゲット接続

実際の手順

1.Turbonomic が AWSに接続するために必要な権限を指定する IAM ポリシーを作成

IAMポリシーは、AWSリソースに対するアクセス権限を定義するJSON形式のドキュメントです。Turbonomicが必要とする権限を明示的に指定することで、最小限のアクセス権で安全に接続できます。

・ポリシーの作成
image.png

・アクセス許可を指定
image.png

・権限をコピーして添付
※ここではアクションの実行まで可能な権限を付与しています。
(https://public-cf-prod-us-east-1.s3.amazonaws.com/execution.policy.json)
image.png

・セキュリティの検証(警告は出てますが、マニュアル通り"Resource":"*"で進めます)
image.png

・ポリシー名と説明を入力して作成
image.png

2.OpenID Connect (OIDC) ID プロバイダーを作成します。

OIDC(OpenID Connect)は、IDフェデレーションを可能にする認証プロトコルです。TurbonomicはOIDCを利用してAWSに認証します。
Audienceに sts.amazonaws.com を指定することで、AWS STS(Security Token Service)を通じて一時的な認証情報を取得できます。

・プロバイダを追加
image.png

・プロバイダのタイプ(OpenID Connect)を選択し、URLを入力
※割り当てられたSaaS環境のリージョンに応じたプロバイダを記載していただく必要が
 あるため、詳しくは以下をご参考ください。
 リージョンごとのプロバイダ情報
image.png

・対象者(Audience)にsts.amazonaws.comと入力し作成
image.png

・サムプリントも取得されます
image.png

3.IAM 役割を作成します。

IAMロールは、TurbonomicがAWSリソースにアクセスするための一時的な権限
を付与する仕組みです。ウェブアイデンティティを使用することで、
OIDC経由での認証が可能になります。

・IAMロールの作成からウェブアイデンティティを選択し、入力
image.png

・先ほど作成したポリシーをアタッチ
image.png

・ロール名と説明を入力
image.png

・ARNをコピー
image.png

4.トラスト・ポリシーを変更します。

トラストポリシー(信頼関係)は、IAMロールがどのIDプロバイダーからのアクセスを許可するかを定義します。
TurbonomicのテナントIDとサービスアカウントを正しく設定する必要があります。

・信頼ポリシー(トラスト・ポリシー)を編集
image.png

・12行目を変更(赤枠)
< TENANT_ID> はお客様のテナントIDで、お客様のSaaS URLのサブドメインです。
< Tenant_ID>.customer.turbonomic.ibmappdomain.cloud
(今回の場合はjptest
< TENANT_SVC_ACCOUNT> は< Tenant_ID>の末尾に-saを記載します。
(今回の場合は <jptest>-sa
image.png

5.IAMロールをターゲット接続

TurbonomicのGUIに移動し、【ターゲット構成】からAWSを選択し、IAMロールを接続します。
image.png

ターゲットの接続時にこのようなエラーが生じた場合、IBMサポートあるいはIBMテクニカルセールスまでご連絡ください。
image.png

おわりに

いかがでしたでしょうか。TurbonomicとAWSを接続する手段は様々な方法がありますが、今回はその一例をご紹介させていただきました。よろしければご参考にしていただければと思います。

1
0
1

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?