AWSアカウントを接続する

早期アクセスリリース

AWSサーバー検出は、1つ以上のAWSアカウントを特定のプロジェクトに接続します。これにより、Advanced Server Accessは自動的にAWSサーバーを追加または削除できるようになります。プロジェクトは複数のAWSアカウントに接続できますが、AWSアカウントはAdvanced Server Accessの全チームで1つのプロジェクトにしか関連付けられません。

また、Advanced Server Accessは、Oktaが管理するサービスアカウント(外部IDと呼ばれる)を使用して、AWSアカウントの問い合わせを行います。このようなサービスアカウントは接続している各クラウドアカウントに固有であり、アクティブなEC2インスタンスと関連付けられているメタデータの検出に使用されています。このようなアカウントには、AWS IAMロールから付与された最小の参照許可を必要とします。IAMロールの詳細については、AWSドキュメントを参照してください。

AWS IAMロールはサーバーの検出とクラウドの自動登録が正しく機能するために必要です。

  1. 自分のAWSアカウントIDを確認します。
    1. Amazon Web Services Admin Consoleに移動します。
    2. ページの上部のプロファイル名の横にあるドロップダウンメニューを選択し、[My Account (マイアカウント)]をクリックします。
    3. [Account Settings (アカウント設定)]の下のアカウントID番号をメモします。
  2. プロジェクトを構成します。
    1. Advanced Server Access Admin Consoleに移動します。
    2. [Projects (プロジェクト)]ページに移動してサーバー用のプロジェクトを選択します。
    3. [Enrollment(登録)]タブを開きます。
    4. Link Cloud Account(クラウドアカウントをリンクする)]をクリックします。
    5. [Create Cloud Account(クラウドアカウントを作成する)]ウィンドウでクラウドアカウントの設定を構成します。
      設定アクション
      クラウドプロバイダーAmazon Web Servicesを選択します。
      アカウントID前もって記録しておいたアカウントIDを入力します。
      説明接続の識別に役立つ説明を入力します。
      AWS ASAアカウントIDおよび外部IDこれらの値は次の手順で使用することに留意してください。これらはOktaが管理するAWSサービスアカウントに関連しています。あなたのAWSアカウントIDとは異なります。
      外部IDの使用に関する詳細は、AWSドキュメントを参照してください。
  3. 自分のAWSアカウントIDを確認します。
    1. 新しいブラウザウィンドウでAmazon Web Services管理者コンソールにアクセスし、IAMコンソールを開きます。
      注:[Create Cloud Account(クラウドアカウントを作成する)]ウィンドウを閉じないでください。
    2. [Roles(ロール)]ページに移動して[Create role (ロールを作成する)]をクリックします。
    3. [Create Role (ロールを作成する)]ウィンドウで[Another AWS account (別のAWSアカウント)]ロールタイプを選択します。
    4. [Account ID (アカウントID)]の下側に、前の手順でメモしたAWS ASAアカウントIDを入力します。
    5. [Require external ID (外部IDを要求する)]を選択して、前の手順でメモした外部IDを入力します。
    6. [Next: Permissions (次へ:許可)]をクリックします。
    7. ロールにAmazonEC2ReadOnlyAccess許可を付与します。
      注:[Create Policy(ポリシーを作成する)]をクリックして新しいカスタムポリシーを作成することもできます。カスタムポリシーには以下を含める必要があります:{"Effect": "Allow", "Action": "ec2:Describe*", "Resource": "*"}
      詳しくは、AWSのドキュメントを参照してください。
    8. Next: Tags(次へ:タグ)]をクリックします。
    9. [Review (確認)]をクリックします。
    10. 設定を確認して[Create role (ロールを作成する)]をクリックします。
    11. 後で使用するためにAmazon Resource Name (ARN)をメモします。
  4. Advanced Server Access の[Create Cloud Account(クラウドアカウントを作成する)]ウィンドウに戻ります。
  5. [Role (ロール)]フィールドにARNを入力します。
  6. [Submit (送信)]をクリックします。

Advanced Server Accessはクラウドアカウントをプロジェクトに接続し、アクティブなEC2インスタンスがあれば検出します。検出プロセスは、クラウドアカウントの当初の接続時刻とほぼ同じ時刻に毎日実行されます。これは、プロジェクトからクラウドアカウントが切断されるまで継続します。

実際にプロジェクトに登録するには、インスタンス上にAdvanced Server Accessのサーバーエージェントをインストールする必要があります。サーバーを登録しない限り、ユーザーはAdvanced Server Accessを通じてサーバーに接続することはできません。また、サーバーの詳細情報が正しく同期しない可能性があります。

AWSに接続済みのプロジェクトからサーバーを再デプロイする場合、別のプロジェクトからの登録トークンを使用することができます。これは、検出したAWSサーバーのサーバー管理者が、別のプロジェクトに関連付けられているAdvanced Server Accessグループの一員であるような状況で行われることがあります。

次の手順

登録トークンを使ってAWSサーバーをデプロイする