AWS Systems Manager ハイブリッドアクティベーション利用時、他 AWS アカウントの EC2 インスタンスを Fleet Manager で KMS 暗号化を有効化して使用する方法を教えてください
困っていること
AWS Systems Manager ハイブリッドアクティベーションを利用して、他 AWS アカウントの EC2 インスタンスを管理しています。
弊社運用方針より、他 AWS アカウントの EC2 インスタンス においても Fleet Manager で KMS 暗号化を有効化して利用しなければなりません。実現する方法を教えてください。
どう対応すればいいの?
基本的には、弊社ブログの方法になります。
キーポリシー側の設定後、アクティベーション作成時に指定する、IAM ロール: AmazonEC2RunCommandRoleForManagedInstances 又は独自に作成したロールへ、以下のポリシーをアタッチしてください。
※ ポリシー例
{
"Version": "2012-10-17",
"Statement": {
"Effect": "Allow",
"Action": [
"kms:CreateGrant",
"kms:Decrypt"
],
"Resource": [
"arn:aws:kms:ap-northeast-1:123456789012:key/xxxxxxxx-0987-1234-5678-xxxxaaaabbbb"
]
}
}
確認してみた
フリートマネージャーのマネージドノード画面より、mi-xxxxxxxxxxx と表示されていることを確認します。
ファイルシステムを選択します。
適当なファイルを閲覧してみます。
結果、問題なく閲覧可能です。