developersIO
Quick Setup を利用したパッチポリシー作成時エラー 「Failed to create AWS-QuickSetup-PatchPolicy-LocalDeploymentRolesStack....」を回避するには

Quick Setup を利用したパッチポリシー作成時エラー 「Failed to create AWS-QuickSetup-PatchPolicy-LocalDeploymentRolesStack....」を回避するには

AWSテクニカルサポートノート
AWSAWS Systems Manager(SSM)AWS Systems Manager Quick SetupAWS CloudFormation
FacebookHatena blogX
2026.01.08

困っていること

SSM の Quick Setup を利用したパッチポリシー を作成する際に以下のエラーが出力され、該当 CloudFormation スタックがロールバックされました。回避方法を教えてください。

Failed to create AWS-QuickSetup-PatchPolicy-LocalDeploymentRolesStack: Resource handler returned message: "Resource of type 'AWS::IAM::Role' with identifier 'AWS-QuickSetup-PatchPolicy-LocalAdministrationRole' already exists." (RequestToken: xxxxxxxx-xxxx-xxxx-xxxx-xxxxxxxxxxxx, HandlerErrorCode: AlreadyExists)

01
02

どう対応すればいいの?

本エラーは、SSM Quick Setup が内部で CloudFormation(StackSets)を用いて作成しようとする以下の IAM ロールが、すでに同名で存在している場合に発生します。

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole
  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole

デプロイロールのセクションで 「QuickSetup の信頼できるアクセス用のロールを作成して使用する」 が選択されているかを確認してください。

03

こちらを選択しており該当エラーが発生している場合、回避方法としては 2 つ考えられます。

  • 該当の IAM ロールを削除して再実行する
  • 既存のサービスロールを使用する

該当の IAM ロールを削除して再実行する

  1. IAM マネジメントコンソール画面より、既に作成されている以下 IAM ロールを削除します。
  2. その後、再実行します。
  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole
  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole

既存のサービスロールを使用する

  1. デプロイロールのセクションで "既存のサービスロールを使用する" を選択します。
  2. 既存の IAM ロールを設定します。
  3. こちらの設定で実行します。

04

補足

対象の IAM ロールについて

  • AWS-QuickSetup-PatchPolicy-LocalAdministrationRole
信頼ポリシー例
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "cloudformation.amazonaws.com"
            },
            "Action": "sts:AssumeRole",
            "Condition": {
                "StringEquals": {
                    "aws:SourceAccount": "123456789012"
                },
                "StringLike": {
                    "aws:SourceArn": "arn:aws:cloudformation:*:123456789012:stackset/AWS-QuickSetup-*"
                }
            }
        }
    ]
}

カスタマーインラインポリシーとして、以下のポリシー名でアタッチ

AssumeExecutionRolePermissions 例
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": [
                "sts:AssumeRole"
            ],
            "Resource": "arn:aws:iam::123456789012:role/AWS-QuickSetup-PatchPolicy-LocalExecutionRole",
            "Effect": "Allow"
        }
    ]
}
  • AWS-QuickSetup-PatchPolicy-LocalExecutionRole
信頼ポリシー例
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": "arn:aws:iam::123456789012:role/AWS-QuickSetup-PatchPolicy-LocalAdministrationRole"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

AWS 管理ポリシーとして: AWSQuickSetupPatchPolicyDeploymentRolePolicy がアタッチ

https://docs.aws.amazon.com/systems-manager/latest/userguide/quick-setup-getting-started.html#quick-setup-getting-started-iam

参考資料

この記事をシェアする

FacebookHatena blogX

関連記事

ALBの属性変更(削除保護・無効なヘッダーフィールドを削除)で瞬断は発生しますか?
kazuki yakame
2026.01.09
Amazon Connect のチャットウィジェットの表示サイズを変更してみた
平井裕二
2026.01.09
AWS CloudTrailログでAPIエンドポイントとのPQC(耐量子暗号)通信を検証する
quiver
2026.01.09
【小ネタ】 AWS グローバル条件コンテキストキー「aws:ResourceTag」はタグ値の大文字小文字を区別するという話
m.hayakawa
2026.01.09