サービスロールの追加

Amplify では、フロントエンドにバックエンドリソースをデプロイする権限が必要です。このアクセス許可を付与するには、サービスロールを使用します。サービスロールは、他のサービスを代理で呼び出すときに Amplifyが引き受けるAWS Identity and Access Management IAM ロールです。このガイドでは、アカウント管理者権限を持つAmplifyサービスロールを作成し、AmplifyアプリケーションがAmplify StudioまたはCLIリソースをデプロイするために必要なリソースへの直接アクセスを明示的に許可し、バックエンドの作成と管理を行います。Amplify Studio について詳しくは、Amplify ドキュメントの「はじめに」を参照してください。Amplify CLI の詳細については、Amplify ドキュメントの「Amplify CLI」を参照してください。

ステップ 1: IAM コンソールにサインインする

IAM コンソールを開き、左側のナビゲーションバーから [ロール] を選択し、[Create role] を選択します。

ステップ 2: Amplify ロールを作成する

ロール選択画面で「Amplify」を探し、「Amplify-Backend Deployment」ロールを選択します。デフォルトをすべてそのまま使用して、AmplifyConsoleServiceRole- などのロール名を選択しますAmplifyRole。

ステップ 3: Amplify コンソールに戻る

Amplify コンソールを開きます。新しいアプリをデプロイ中の場合は、[更新] を選択してから、作成したばかりのロールを選択します。次のようになるはずです AmplifyConsoleServiceRole-AmplifyRole.

既存のアプリがすでにある場合は、[App settings > General] でサービスロール設定を探し、ボックスの右上隅から [編集] を選択します。ドロップダウンから先ほど作成したサービスロールを選択し、[保存] を選択します。

Amplify コンソールに、バックエンドリソースをデプロイする権限が付与されるようになりました。

混乱した代理の防止

混乱した代理問題とは、アクションを実行する許可を持たないエンティティが、より高い特権を持つエンティティにそのアクションの実行を強制できるというセキュリティ問題です。詳細については、「サービス間の混乱した代理の防止」を参照してください。

現在、Amplify-Backend Deploymentサービスロールのデフォルトの信頼ポリシーでは、代理人が混乱しないように、aws:SourceArnaws:SourceAccountおよびグローバルコンテキスト条件キーが適用されます。ただし、Amplify-Backend Deployment以前にアカウントでロールを作成したことがある場合は、ロールの信頼ポリシーを更新してこれらの条件を追加して、代理人が混乱しないようにすることができます。

次の例を使用して、アカウント内のアプリへのアクセスを制限します。例に使用しているものを自分の情報に置き換えてください。

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

を使用してロールの信頼ポリシーを編集する手順についてはAWS Management Console、IAM User Guideの「ロール (コンソール) の変更」を参照してください。