翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # `AWSSupport-GrantPermissionsToIAMUser` **説明** このランブックは、指定されたアクセス許可を IAM グループ (新規または既存) に付与し、既存の IAM ユーザーを追加します。選択できるポリシー: [請求](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/job-function/Billing$serviceLevelSummary)または[サポート](https://console.aws.amazon.com/iam/home?#/policies/arn:aws:iam::aws:policy/AWSSupportAccess$serviceLevelSummary)。IAM の請求へのアクセスを有効にするには、「[IAM ユーザーおよびフェデレーションユーザーの請求およびコンソールマネジメントページへのアクセス](https://docs.aws.amazon.com/console/iam/billing-enable)」を有効にすることも忘れないでください。 **重要** 既存の IAM グループを提供する場合、グループ内のすべての現行 IAM ユーザーは新しいアクセス権限を受け取ります。 [このオートメーションを実行する (コンソール)](https://console.aws.amazon.com/systems-manager/automation/execute/AWSSupport-GrantPermissionsToIAMUser) **ドキュメントタイプ** オートメーション **[所有者]** Amazon **[Platforms]** (プラットフォーム) Linux、macOS、Windows **パラメータ** + AutomationAssumeRole タイプ: 文字列 説明: (オプション) Systems Manager Automation がユーザーに代わってアクションを実行できるようにする AWS Identity and Access Management (IAM) ロールの Amazon リソースネーム (ARN)。ロールを指定しない場合、Systems Manager Automation はこのランブックを開始するユーザーのアクセス許可を使用します。 + IAMGroupName タイプ: 文字列 デフォルト: ExampleSupportAndBillingGroup 説明: (必須) 新規または既存のグループにすることができます。[IAM エンティティの名前の制限](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_iam-limits.html#reference_iam-limits-names)に準拠する必要があります。 + IAMUserName タイプ: 文字列 デフォルト: ExampleUser 説明: (必須) 既存のユーザーである必要があります。 + LambdaAssumeRole タイプ: 文字列 説明: (オプション) Lambda によって引き受けられたロールの ARN。 + アクセス許可 タイプ: 文字列 有効な値: SupportFullAccess \| BillingFullAccess \| SupportAndBillingFullAccess デフォルト: SupportAndBillingFullAccess 説明: (必須) 次のいずれかを選択します。`SupportFullAccess` はサポートセンターへのフルアクセスを許可します。`BillingFullAccess` は請求ダッシュボードへのフルアクセスを許可します。`SupportAndBillingFullAccess` はサポートセンターと請求ダッシュボードの両方へのフルアクセスを許可します。ドキュメント詳細のポリシーに関する詳細。 **必要な IAM アクセス許可** `AutomationAssumeRole` パラメータでは、ランブックを正常に使用するために、次のアクションが必要です。 必要なアクセス許可は、`AWSSupport-GrantPermissionsToIAMUser` の実行方法によって異なります。 **現在ログインしているユーザーまたはロールとして実行** `AmazonSSMAutomationRole` Amazon 管理ポリシーを添付し、Lambda 関数と IAM ロールを作成して Lambda に渡すための以下の追加のアクセス権限を有効にすることをお勧めします。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:{{111122223333}}:function:AWSSupport-*", "Effect": "Allow" }, { "Effect": "Allow", "Action": [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource": [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect": "Allow", "Action": [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource": "*" } ] } ``` ------ **AutomationAssumeRole および LambdaAssumeRole の使用** ユーザーは、ランブックに対する **ssm:StartAutomationExecution** アクセス権限と **AutomationAssumeRole** および **LambdaAssumeRole** として渡された IAM ロールの **iam:PassRole** を保持している必要があります。各 IAM ロールに必要なアクセス権限を次に示します。 ``` AutomationAssumeRole { "Version": "2012-10-17", "Statement": [ { "Action": [ "lambda:InvokeFunction", "lambda:CreateFunction", "lambda:DeleteFunction", "lambda:GetFunction" ], "Resource": "arn:aws:lambda:*:ACCOUNTID:function:AWSSupport-*", "Effect": "Allow" } ] } ``` ``` LambdaAssumeRole { "Version": "2012-10-17", "Statement": [ { "Effect" : "Allow", "Action" : [ "iam:CreateGroup", "iam:AddUserToGroup", "iam:ListAttachedGroupPolicies", "iam:GetGroup", "iam:GetUser" ], "Resource" : [ "arn:aws:iam::*:user/*", "arn:aws:iam::*:group/*" ] }, { "Effect" : "Allow", "Action" : [ "iam:AttachGroupPolicy" ], "Resource": "*", "Condition": { "ArnEquals": { "iam:PolicyArn": [ "arn:aws:iam::aws:policy/job-function/Billing", "arn:aws:iam::aws:policy/AWSSupportAccess" ] } } }, { "Effect" : "Allow", "Action" : [ "iam:ListAccountAliases", "iam:GetAccountSummary" ], "Resource" : "*" } ] } ``` **ドキュメントステップ** 1. `aws:createStack` - CloudFormation テンプレートを実行して Lambda 関数を作成します。 1. `aws:invokeLambdaFunction` - Lambda を実行して IAM アクセス許可を設定します。 1. `aws:deleteStack` - CloudFormation テンプレートを削除します。 **[出力] ** configureIAM.Payload