Cloudcraft は、_読み取り専用_の IAM ロールを使用して AWS アカウントをスキャンし、コンポーネント間のサービス関係をリバースエンジニアリングして、アーキテクチャのダイアグラムを自動生成します。

すべてを設定する最も簡単な方法は、アプリケーション内の指示に従うことです。これにより、数回のクリックでロールが作成され、権限が設定されます。このロールにはデフォルトで AWS 管理の ReadOnlyAccess IAM ポリシーが割り当てられます。

もし、特定のサービスや API を除外するなど、より正確に権限を制御する必要がある場合、カスタム Cloudcraft IAM ポリシーを使用することでそれが可能になります。

カスタム IAM ポリシーの作成

まず、IAM ポリシーコンソールを開き、Create Policy ボタンをクリックします。

JSON タブに切り替え、以下のリンクされたポリシーのいずれかの内容をコピーします。

また、独自の要件に合わせてポリシーをカスタマイズすることもできます。

• Cloudcraft custom IAM policy: このポリシーはデフォルトの ReadOnlyAccess ポリシーよりも厳格です。このポリシーには、Cloudcraft が使用する個々のサービスと読み取り専用の権限のみが含まれています。Cloudcraft が完全に新しいサービスのサポートを追加する際には、通常このポリシーを更新する必要があります。
• Cloudcraft minimal IAM policy: これは最も厳格な形式のポリシーです。このポリシーには、Cloudcraft の完全な機能のための個別の読み取り専用権限がそれぞれ列挙されています。このポリシーは、新しいサービスのサポートが追加されたときや既存のサービスが改善されたときなど、より頻繁に更新する必要があります。
• 上記のいずれかのポリシーをベースにして、独自のカスタマイズを行うことができます。たとえば、個々のサービスや権限を削除することが可能です。Cloudcraft がサービスにアクセスできない場合、そのサービスは結果として生成されるダイアグラムから除外されます。

画面の下部にある Review policy ボタンをクリックし、名前と説明を入力します。Cloudcraft は、整理と監査を容易にするために、以下の値を使用することを推奨しています。

• Policy Name: Cloudcraft
• Policy Description: Cloudcraft のカスタムポリシーです。

次に、Create policy をクリックしてポリシーを作成します。AWS コンソールはポリシーページにリダイレクトします。

最後に、新しく作成したポリシーを Cloudcraft IAM ロールに適用します。まだロールを作成していない場合は、アプリケーション内の指示に従ってください。