OpsNow FinOps Plusは、AWSアカウント登録時にCloudFormationテンプレート(Stack)を通じて必要な権限を自動的に設定します。
これにより、お客様の運用負担を軽減しつつ、最小権限原則(Principle of Least Privilege)に基づき、コスト、リソース、ポリシー情報の分析に必要な最小限の権限のみを要求するように設計されています。
✅ CloudFormation 基盤の自動権限の構成
OpsNowが提供するAWS CloudFormationスタックを実行すると、以下の項目が自動的に設定されます:
- CrossAccountRole: OpsNowが顧客アカウントにアクセスできるように構成されたIAMロール。
- ポリシーセット: コスト確認、リソース監視、タグ分析、CloudFormationリソースへのアクセスなど、機能別のポリシーが詳細に分類されて含まれています。
- External IDに基づくAssumeRole: セキュリティ強化のための外部識別子条件の設定が含まれています。
📂 主な権限範囲の事例
- ce:Get, ec2:Describe, cloudwatch:ListMetrics** など、コストおよびモニタリング API
- s3:GetObject、s3:ListBucket など、コストレポート収集のためのS3アクセス
- cur:DescribeReportDefinitions、cur:PutReportDefinition など、コストと使用状況レポートの設定
- iam:Get、iam:List / autoscaling:Describe*** など、運用インフラ分析のための読み取り権限
- tag:GetTagValues、tag:UntagResources など、タグに基づくリソース分類機能を含む
📌 すべての権限は、リソースの作成後にOpsNowが必要とする範囲内でのみ動作し、実行権限や削除権限は要求しません。
🔍 リアルタイム権限確認と管理
- 登録されたAWSアカウントの権限は、[Settings > Cloud Accounts] メニューから確認できます。顧客はAWSコンソールで該当するIAMロールとポリシーを直接確認し、修正できます。
- OpsNowは、顧客のセキュリティ基準に合わせて必要に応じてカスタム権限設定もサポートします。例:特定のサービス除外、ポリシー範囲の制限など
📌 CloudFormationを活用した自動化された権限構成は、設定ミスを削減し、安全で透明性の高いクラウド連携を実現します。
セキュリティと運用両面を考慮したアプローチにより、クラウドコストとリソースの統合管理に最適化された構造です。
