AutoSavingsは、顧客のAWSコストデータを安全に分析し最適化するため、最小権限の原則(Principle of Least Privilege)に基づいて設計されています。
サービス使用に必要な権限は以下の通りです:
✅1. AWSアカウント権限委譲方式
- AutoSavingsはAWSアカウントに直接アクセスするのではなく、IAMロール(Role)を通じた権限委譲(Delegation)方式で動作します。
- ユーザーはOpsNowで提供する信頼できるロールARNを接続することで、安全にアカウント連携を完了できます。
✅2. 必要権限:読み取り専用権限(Read-Only)
- AutoSavingsは、コスト分析と推奨のためのReadOnlyAccess権限のみで大部分の機能が動作します。この権限を通じて以下のデータを収集します:
- EC2、RDS、Fargateなど、AWSリソース使用内訳
- BillingおよびCost Explorer APIデータ
- 既存RIおよびSP約定内訳
✅ 3. 約定購入およびリセール機能のための追加権限(選択事項)
- 自動購入/再販売機能を使用する場合は、以下の追加権限が必要です:
ec2:PurchaseReservedInstancesOfferingec2:ModifyReservedInstancesec2:SellReservedInstances
※ 上記権限は顧客の承認を通じて明示的に付与され、顧客はいつでも権限範囲を検討または撤回できます。
✅4. セキュリティ認証およびアクセス管理
- OpsNowはAWS STS(Secure Token Service)ベースの短期セッショントークンを使用し、機密認証情報の露出なしに安全に連携されます。
- ユーザー認証およびアクセスは、OpsNowプラットフォーム内の**ロールベースアクセス制御(RBAC)**に従って制限され、組織管理者のみが接続および変更を実行できます。
