[アップデート] Application Migration Service(AWS MGN)の起動後テンプレートのパラメータを暗号化できるようになりました

こんにちは、AWS事業本部の荒平(@0Air)です。

タイトル通り、Application Migration Service(AWS MGN)で利用する起動後テンプレート(Post-Launch-Action)のパラメータを暗号化できるようになりました。

リリースノートは以下の通り。
This feature is currently being deployed. It will be available across the regions by end of June.とありますが、バージニア北部だけでなく、東京リージョンでも使えるようになっていたので、ご紹介します。

3行まとめ

• AWS MGNのテストインスタンス・カットオーバーインスタンスの起動時に選択できるアクションのパラメータを暗号化することができるようになった
• 例えばJoin domainアクションを利用する場合、IPアドレスやOU構成などをSSMパラメータストアに格納できる
• SecureStringで保存されるため、承認されたユーザーのみがパラメータを確認することができる

きっちり権限分離を実現したい場合に必要な機能ですね。

確認してみる

暗号化について表示されていないため少し分かりにくいですが、アクションパラメータの暗号化設定は「起動後アクションの設定」にあります。

「アクションパラメータを暗号化」を有効にすると、それぞれのアクションで暗号化が選べるようになります。

試しに、EC2 connectivity checkのアクションパラメータを暗号化してみます。
パラメータを入力し、暗号化にチェックを入れ、保存します。

5分ほど経過すると、SSMのパラメータストアにManagedByAWSApplicationMigrationService-*から始まるSecureStringのパラメータがリストされます。

先ほど指定した値が入っていました。これらの値をアプリケーション側に持たせる必要がなくなり、IAMベースの権限管理ができるため嬉しいです。

IAMポリシー更新

なお、今回のアップデートと共に、AWSApplicationMigrationFullAccessのIAMポリシーが更新されています。 SecureStringのパラメータタイプをサポートするようになりました。

IAMマネージドポリシーを使っておらず、今回のパラメータ暗号化をサポートしたい場合は、注意が必要です。

おわりに

今回はサンプルとしてIPアドレスをSecureStringとして保存しましたが、ドメインのログインパスワードや、カスタムのランブックなど用途は色々ありそうです。
なお、先述のIAMポリシー自体の変更は2024年3月に行われており、マネージドポリシーを使っていない場合は権限の修正が必要です。

このエントリが誰かの助けになれば幸いです。
それでは、AWS事業本部 コンサルティング部の荒平(@0Air)がお送りしました！

参考