opswitchがAWSアカウント連携時に作成したIAM Roleの権限は以下になります。v.9.0ではCloudFormationのCreateStackSetが削除され、ListStacksが追加されました。
EC2
- 先頭にDescribeが付く権限
- CreateSnapshot
- DeleteSnapshot
- CreateImage
- DeregisterImage
- CreateTags
- StartInstances
- StopInstances
- ModifyInstanceAttribute
- CopySnapshot
- CopyImage
RDS
- 先頭にDescribeが付く権限
- CreateDBSnapshot
- DeleteDBInstance
- DeleteDBSnapshot
- RestoreDBInstanceFromDBSnapshot
- ListTagsForResource
- AddTagsToResource
- StartDBInstance
- StopDBInstance
- CreateDBClusterSnapshot
- DeleteDBClusterSnapshot
- StartDBCluster
- StopDBCluster
- CopyDBSnapshot
- CopyDBClusterSnapshot
WorkSpaces
- StartWorkspaces
- DescribeWorkspaces
- DescribeTags
Redshift
- DescribeClusters
- CreateTags
SSM
- SendCommand
- AWSEC2-CreateVssSnapshotドキュメントの実行を全てのEC2インスタンスに許可します。
- GetCommandInvocation
KMS
- CreateGrant
- ListAliases
- ListKeyPolicies
- ListKeys
- GetKeyPolicy
CloudFormation
- 先頭にDescribeが付く権限
- 先頭にGetが付く権限
- ListStacks
- CreateChangeSet