こんにちは、AWS事業本部の荒平(@0Air)です。
タイトル通り、Application Migration Service(AWS MGN)で利用する起動後テンプレート(Post-Launch-Action)のパラメータを暗号化できるようになりました。
リリースノートは以下の通り。
This feature is currently being deployed. It will be available across the regions by end of June.とありますが、バージニア北部だけでなく、東京リージョンでも使えるようになっていたので、ご紹介します。
3行まとめ
- AWS MGNのテストインスタンス・カットオーバーインスタンスの起動時に選択できるアクションのパラメータを暗号化することができるようになった
- 例えば
Join domainアクションを利用する場合、IPアドレスやOU構成などをSSMパラメータストアに格納できる - SecureStringで保存されるため、承認されたユーザーのみがパラメータを確認することができる
きっちり権限分離を実現したい場合に必要な機能ですね。
確認してみる
暗号化について表示されていないため少し分かりにくいですが、アクションパラメータの暗号化設定は「起動後アクションの設定」にあります。
「アクションパラメータを暗号化」を有効にすると、それぞれのアクションで暗号化が選べるようになります。
試しに、EC2 connectivity checkのアクションパラメータを暗号化してみます。
パラメータを入力し、暗号化にチェックを入れ、保存します。
5分ほど経過すると、SSMのパラメータストアにManagedByAWSApplicationMigrationService-*から始まるSecureStringのパラメータがリストされます。
先ほど指定した値が入っていました。これらの値をアプリケーション側に持たせる必要がなくなり、IAMベースの権限管理ができるため嬉しいです。
IAMポリシー更新
なお、今回のアップデートと共に、AWSApplicationMigrationFullAccessのIAMポリシーが更新されています。 SecureStringのパラメータタイプをサポートするようになりました。
IAMマネージドポリシーを使っておらず、今回のパラメータ暗号化をサポートしたい場合は、注意が必要です。
おわりに
今回はサンプルとしてIPアドレスをSecureStringとして保存しましたが、ドメインのログインパスワードや、カスタムのランブックなど用途は色々ありそうです。
なお、先述のIAMポリシー自体の変更は2024年3月に行われており、マネージドポリシーを使っていない場合は権限の修正が必要です。
このエントリが誰かの助けになれば幸いです。
それでは、AWS事業本部 コンサルティング部の荒平(@0Air)がお送りしました!
3
