マルチクラウド コネクタの Arc オンボード ソリューションは、接続されたパブリック クラウド内の VM を自動検出してから Azure Connected Machine Agent をインストールし、その VM を Azure Arc にオンボードします。現在、AWS パブリック クラウド環境内の EC2 インスタンスがサポートされています。
このシンプル エクスペリエンスにより、Azure Monitor などの Azure 管理サービスを使用して、Azure VM と AWS VM を一緒に一元的に管理できます。
パブリック クラウドを Azure に 接続するときに、Arc オンボード ソリューションを有効にすることができます。
前提条件
パブリック クラウドを接続するための一般的な前提条件に加えて、Arc オンボード ソリューションの要件を満たしていることを確認してください。 これには、Azure Arc にオンボードされる各 EC2 インスタンスの要件が含まれます。
- パブリック クラウドには AmazonEC2FullAccess アクセス許可が必要です。
- EC2 インスタンスは、Connected Machine エージェントをインストールするための一般的な前提条件を満たしている必要があります。
- EC2 インスタンスには、AWS Systems Manager (SSM) エージェントがインストールされている必要があります。 サポートされている OS を使用している場合、ほとんどの EC2 インスタンスはこのエージェントで事前構成されています。
EC2 インスタンスには、次のセクションで説明するアクセス許可も含める必要があります。
必要な AWS のアクセス許可
CloudFormation テンプレートをデプロイした後、ArcForServerSSMRole IAM ロールを ArcForServerSSMInstanceProfile 経由で各 EC2 インスタンスにアタッチする必要があります。 このロールには AmazonSSMManagedInstanceCore ポリシーが 含まれています。これにより、EC2 インスタンスで実行されている SSM エージェントは、Azure Arc で検出、管理、Azure Arc へのオンボードに必要なアクションを実行できます。
ArcForServerRole IAM ロールは、OIDC フェデレーション ID を使用して Azure Arc によって引き受けられます。 このロールにより、Azure Arc は SSM コマンドをリモートでトリガーおよび監視できるだけでなく、EC2 と CloudFormation のメタデータを取得して、AWS の外部からインスタンスを管理できるようになります。 このロールには、次のアクセス許可が含まれます。
| 権限 | 説明 |
|---|---|
| ssm:SendCommand | 1 つ以上のマネージド インスタンスへのコマンドの送信を許可します。 ターゲット コンピューターでオンボード スクリプトを実行するために使用されます。 |
| ssm:キャンセルコマンド | マネージド インスタンスで現在実行中のコマンドを取り消すことができます。 必要に応じてオンボーディングコマンドを停止するために使用される。 |
| ssm:DescribeInstanceInformation | マネージド インスタンスに関する情報の表示を許可します。 SSM エージェントがインストールされ、SSM によって管理されている EC2 インスタンスを識別するために使用されます。これは、Azure Arc へのオンボードに必要です。 |
| ssm:GetCommandInvocation | 送信されたコマンドの詳細と結果を表示できます。 オンボード スクリプトの状態と出力を監視するために使用されます。 |
| ec2:DescribeInstances | EC2 インスタンスに関する情報の取得を許可します。 インスタンスの現在の状態を確認して、Azure Arc へのオンボードの資格を決定するために使用されます。 |
| ec2:DescribeImages | Amazon Machine Images (AMI) に関する情報の取得を可能にします。 インスタンスのオペレーティング システムの詳細を検証するために使用されます。 |
| cloudformation:ListStackInstances | AWS CloudFormation スタック内のすべてのスタック インスタンスを一覧表示できます。 オンボードに関連する CloudFormation によって作成されたリソースを識別するために使用されます。 このアクセス許可は AWS 組織のアカウントにのみ必要ですが、既定では、管理アカウントとメンバー アカウントの両方で使用できます。 |
注
これらのアクセス許可は ArcForServerRole IAM ロールにバンドルされ、CloudFormation テンプレートを使用して自動的にプロビジョニングされます。 ただし、明示的な拒否ポリシーは許可されたアクセス許可をオーバーライドし、オンボードをブロックできます。 デプロイエラーを回避するには、そのような拒否ポリシーが設定されていないことを確認します。
オプションの AWS アクセス許可
ArcForServerRole のアクセス許可に加えて、必要に応じて、SSM インスタンス プロファイルを EC2 マシンに自動的にアタッチするアクセス許可を付与することもできます。 このオプションを選択すると、手動による介入なしに SSM エージェントを適切に構成することで、Azure Arc のオンボードが簡略化されます。 これらのアクセス許可を有効にしない場合は、SSM インスタンス プロファイルを EC2 マシンに手動でアタッチする必要があります。
この動作を制御するには、CloudFormation テンプレートで次のパラメーターを構成します。
EC2SSMIAMRoleAutoAssignment(既定値:true): EC2 インスタンスへの SSM タスクに使用される IAM ロールの自動割り当てを有効にします。 この機能を無効にし、インスタンス プロファイルを手動で管理するには、false に設定します。EC2SSMIAMRoleAutoAssignmentSchedule(既定値:Enable): 自動割り当てプロセスを定期的に実行するかどうかを制御します。 スケジュールされたチェックをオフにするには、Disableに設定します。EC2SSMIAMRoleAutoAssignmentScheduleInterval(既定値: 1 日): 自動割り当てラムダ関数が実行される頻度 (15 分、6 時間、1 日など) を定義します。EC2SSMIAMRolePolicyUpdateAllowed(既定値:true): 必要な SSM アクセス許可がない既存の IAM ロールをシステムが更新できるようにします。
インスタンス プロファイルの自動割り当てをサポートするには、次のアクセス許可を許可する必要があります。
ヒント
ラムダベースの自動割り当て (EC2SSMIAMRoleAutoAssignment) が有効になっている場合、これらのアクセス許可は自動的にプロビジョニングされます。 それ以外の場合は、EC2 インスタンスに正しいインスタンス プロファイルがアタッチされていることを手動で確認する必要があります。
| 権限 | 説明 |
|---|---|
| ec2:DescribeInstances | EC2 インスタンスの表示を許可します。 |
| ec2:DescribeRegions | 使用可能な AWS リージョンの取得を許可します。 |
| ec2:DescribeIamInstanceProfileAssociations | 既存の IAM インスタンスプロファイルの関連付けを表示できます。 |
| ec2:AssociateIamInstanceProfile | EC2 インスタンスへのインスタンス プロファイルのアタッチを許可します。 |
| ec2:DisassociateIamInstanceProfile | EC2 インスタンスからインスタンス プロファイルをデタッチできるようにします。 |
| iam:GetInstanceProfile | インスタンス プロファイル情報の取得を許可します。 |
| iam:ListAttachedRolePolicies | IAM ロールにアタッチされているロール ポリシーの表示を許可します。 |
| iam:AttachRolePolicy | IAM ロールにポリシーを結びつけることを許可します。 |
| iam:PassRole | EC2 などのサービスにロールを渡すことを許可します。 |
| iam:AddRoleToInstanceProfile(役割をインスタンスプロファイルに追加) | インスタンス プロファイルへのロールの追加を許可します。 |
| logs:CreateLogGroup, logs:CreateLogStream, logs:PutLogEvents | Lambda から CloudWatch へのログの書き込みを許可します。 |
| ssm:GetServiceSetting | SSM サービスに関連する設定を取得できます。 |
Azure での AWS リソース表現
AWS クラウドを接続し、Arc オンボード ソリューションを有効にすると、マルチクラウド コネクタによって名前付け規則 aws_yourAwsAccountId を使用して新しいリソース グループが作成されます。
EC2 インスタンスが Azure Arc に接続されると、これらのマシンの表現がこのリソース グループに表示されます。 これらのリソースは、標準のマッピング スキームを使用して Azure リージョンに配置されます。 スキャンする Azure リージョンをフィルター処理できます。 既定では、すべてのリージョンがスキャンされますが、ソリューションを構成するときに特定のリージョンを除外することもできます。
aws_yourAwsAccountId リソース グループは、そのサブスクリプションからアクセス許可を継承します。 特定のシナリオを有効にするために、必要に応じてテナント内のユーザー アカウントに追加のアクセスを付与できます。
接続方法
Arc オンボード ソリューションを作成するときに、Connected Machine エージェントをパブリック エンドポイントまたはプロキシ サーバーを介してインターネットに接続するかどうかを選択します。 プロキシ サーバーを選択する場合は、EC2 インスタンスが接続できるプロキシ サーバー URL を指定する必要 があります。
その他の情報については、「Connected Machine エージェントのネットワーク要件」を参照してください。
定期的な同期オプション
Arc オンボード ソリューションを構成するときに選択する定期的な同期時間によって、AWS アカウントをスキャンして Azure に同期する頻度が決まります。 定期的な同期を有効にすると、前提条件を満たす新しい EC2 インスタンスが検出されるたびに、Arc エージェントが自動的にインストールされます。 定期的な同期オプションは、Azure のリソースをクリーンアップするのにも役立ちます。 たとえば、EC2 インスタンスが AWS から削除された場合、azure 内の aws_accountId リソース グループに作成された対応する Arc サーバーも削除されます。
必要に応じて、このソリューションを構成するときに定期的な同期をオフにすることができます。 その場合、Azure では新しいインスタンスがスキャンされないため、新しい EC2 インスタンスは Azure Arc に自動的にオンボードされません。
EC2 フィルター オプション
AWS リージョンまたは AWS タグに基づいて EC2 インスタンスをスキャンするようにフィルター処理することができます。
EC2 リソースをスキャンする特定のリージョンを選択できます。 一致するタグ (大文字と小文字を区別しない) を持つ EC2 マシンのみが EC2 オンボードの対象になるように、AWS タグでフィルター処理することもできます。
次のステップ
- Azure Arc を使用して接続済みサーバーを管理するを参照してください。
- マルチクラウド コネクタ インベントリ ソリューションを参照してください。