Recovery Kit for EC2を利用するには、RouteTableのエントリーの更新、ENI(Elastic Network Interface)の再割り当てを許可されたIAMロールがインスタンスに必要です。
- ルートテーブルシナリオ(バックエンドクラスタ)
- ec2:DescribeRouteTables
- ec2:ReplaceRoute
- ec2:DescribeNetworkInterfaceAttribute
- ec2:ModifyNetworkInterfaceAttribute
- Elastic IP シナリオ(フロントエンドクラスタ)
- ec2:DescribeAddresses
- ec2:AssociateAddress
- ec2:DisassociateAddress
そのためには、以下のようなポリシーを作成し(アクセスできるリソースを制限することが望ましい場合があります)、それをIAMロールに割り当てます。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "VisualEditor0", "Effect": "Allow", "Action": [ "ec2:DisassociateAddress", "ec2:DescribeAddresses", "ec2:DescribeNetworkInterfaceAttribute", "ec2:ModifyNetworkInterfaceAttribute", "ec2:AssociateAddress", "ec2:DescribeRouteTables", "ec2:ReplaceRoute" ], "Resource": "*" } ] }
IAMロールを定義したら、それをEC2インスタンスに割り当てます。
このトピックへフィードバック