OpsNow FinOps PlusはAWSアカウント登録時にCloudFormationテンプレート(Stack)を通じて必要な権限を自動で設定します。これはお客様の運用負担を削減し、同時に最小権限原則(Principle of Least Privilege)に基づいてコスト、リソース、ポリシー情報分析に必要な最小権限のみを要求するよう設計されています。
✅ CloudFormationベースの自動権限構成
OpsNowで提供されるAWS CloudFormationスタックを実行すると、以下のような項目が自動で設定されます:
- CrossAccountRole:OpsNowがお客様アカウントにアクセスできるよう構成されたIAMロール
- ポリシー(Policy)セット:コスト照会、リソースモニタリング、タグ分析、CloudFormationリソースアクセス等機能別ポリシーが細分化されて含まれる
- External IDベースAssumeRole:セキュリティ強化のための外部識別子条件設定を含む
📂 主要権限の範囲例
- ce:Get、ec2:Describe、cloudwatch:ListMetrics等コストおよびモニタリングAPI
- s3:GetObject、s3:ListBucket等コストレポート収集のためのS3アクセス
- cur:DescribeReportDefinitions、cur:PutReportDefinition等Cost & Usage Report設定
- iam:Get、iam:List、autoscaling:Describe等運用インフラ分析のための読み取り権限
- tag:GetTagValues、tag:UntagResources等タグベースリソース分類機能を含む
📌 すべての権限はリソース作成後OpsNowが必要とする範囲内でのみ動作し、実行権限や削除権限は要求しません。
🔍 リアルタイム権限確認および管理
- 登録されたAWSアカウントの権限は[Settings > Cloud Accounts]メニューで確認でき、お客様はAWSコンソールで該当IAMロールとポリシーを直接レビューし修正することができます。
- OpsNowはお客様企業のセキュリティ基準に合わせて必要な場合、カスタマイズされた権限設定もサポートします。例:特定サービス除外、ポリシー範囲制限等
📌 CloudFormationを通じた自動化された権限構成は設定エラーを削減し、安全で透明なクラウド連携を可能にします。セキュリティと運用両方を考慮したアプローチで、クラウドコストおよびリソース統合管理に最適化された構造です。
