nOpsのIAMポリシーのアップデートが行われていたので何が更新されたのか調べてみました。

nOps用IAMポリシーのアップデート

最近nOpsに新機能が続々と追加されています！ その影響もあり先日nOpsからIAMポリシー更新に関してのアラートが来ていたので、実際にIAMポリシーを更新してみたというのが今回のブログの内容です！ このような形でnOpsの画面右上に赤丸が出ている方は、ぜひこちらのブログを参考にIAMポリシーの更新を行ってみてください。

やってみた

まず先ほどの画像の赤丸をクリックします。 するとIAM Policy Updateというページへ移動します。

こちらに、ポリシーの更新が行われていないアカウント一覧が出てくるようです。 もう更新したのになぜかここにアカウントが出てきてしまっている場合は「I already update」ボタンを押しましょう。

※間違えてこちらを押してしまうと更新アラートが消えてしまうので注意しましょう。

これから更新を行う方は「Update on AWS」をクリックします。 AWSアカウントにログインした状態でクリックするとCloudformationテンプレートが用意されていて、スタックのクイック作成ページへ移動します。

nOpsのCloudformationテンプレートはオレゴンリージョンでスタックが作成されるようになっています。ご自身がいつも使われているリージョンに変更してから以下の作業を行うことを推奨します。

スタックの名前やパラメータが自動で入力されていますので、こちらは何も変えずに、下まで進みAWS CloudFormation によって IAM リソースが作成される場合があることを承認します。のチェックボックスにチェックをしましょう。

スタックの作成を押します。

スタックのステータスがCREATE_COMPLETEになるまで少し待ちます。

では新しくできたリソースを確認してみましょう。

• NopsIntegrationPolicy
• NopsIntegrationRole
• NopsLambdaExecutionRole
• NopsLambdaLookupStack
• NopsLambdaTrigger
• NopsSystemBucketPolicy

この５つのリソースのステータスがすべてCREATE_COMPLETEになっていれば問題なくIAMポリシーの更新が行われています。

新しいポリシーについて

IAMポリシーの更新に成功したところで、新しいnOpsのポリシーについて少し確認してみます。

新しくなったのは下記の15項目のようです。

こちらに記載のポリシー内容に関しては執筆時（2022年8月3日更新分）のものになりますのでご注意ください

詳細

用途や何を許可するポリシーなのかについて少し詳しく見ていきます。

• ce:GetReservationUtilization
  • アカウントの予約状況の取得
  • 用途：RI（リザーブドインスタンス）の管理に使用
• organizations:DescribeAccount
  • 指定されアカウントのAWS Organizationの情報取得
  • 用途：nOpsが承認情報を取得複数アカウントをnOpsに登録
• elasticloadbalancing:DescribeTargetHealth
  • 指定したターゲットまたはすべてのターゲットの正常性についてを説明
• iam:ListAttachedRolePolicies
  • IAMグループにアタッチされているすべての管理ポリシーを表示する
  • 用途：nOpsRules内のポリシースキャンに使用
• ce:GetSavingsPlansUtilizationDetails
  • 特定の期間の集計使用率及び節約データ、属性データの取得
  • 用途：RIの管理に使用
• ce:GetSavingsPlansUtilization
  • SP（Savings Plans）の利用状況を日単位または月単位で取得
  • 用途：RIの管理に使用
• eks:DescribeCluster
  • EKSクラスターに関する説明情報の取得
  • 用途：近い将来、更新検索に使用予定
• ce:GetReservationCoverage
  • EC2,Amazon ElastiCache,RDS,Amazon Redshiftの使用量が予約によってどの程度カバーされるのかを確認する
  • 用途：RIの管理に使用
• eks:DescribeNodegroup
  • EKSノードグループに関する説明情報の取得
  • 用途：近い将来、更新検索に使用予定
• elasticloadbalancing:DescribeTargetGroups
  • ターゲットグループについての情報取得
  • 用途：GraphQL IDEページで使用
• iam:ListInstanceProfiles
  • 指定されたpath,prefixを持つインスタンスプロファイルを一覧表示する
  • 用途：GraphQL IDEページで使用
• ce:GetSavingsPlansCoverage
  • アカウントに適用されるSPを取得
  • 用途：RI（SP）の管理に使用
• ec2:DescribeReservedInstances
  • 購入したRIについての情報取得
  • 用途：RIの管理とGraphQL IDEページで使用
• iam:ListPolicyVersions
  • ポリシーの既定のバージョンとして現在設定されているバージョンを含む、管理ポリシーのバージョンに関する情報を一覧表示
• eks:ListNodegroups
  • 指定されたクラスターに関連付けられたEKS管理対象ノードグループを取得
  • 用途：近い将来、更新検索に使用予定

出典：nOpsドキュメント：AWS IAM Policy

まとめ

新機能として追加されたSPの管理に関する部分やGraphQLに関する部分のポリシーが多く追加されていたようです。

nOpsでは新機能のリリースとともにIAMポリシーの更新が行われる場合がありますので、その点に注意しながら新しく出てくる機能をうまく活用していきましょう！