Amplify アプリへのサービスロールの追加 - AWS Amplify ホスティング

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amplify アプリへのサービスロールの追加

Amplify では、フロントエンドでバックエンドリソースをデプロイするためのアクセス許可が必要です。このアクセス許可を付与するには、サービスロールを使用します。サービスロールは、Amplify がユーザーに代わって他のサービスを呼び出すときに引き受ける AWS Identity and Access Management (IAM) ロールです。

この章では、アカウント管理アクセス許可を持ち、Amplify アプリケーションがバックエンドのデプロイ、作成、管理に必要なリソースへの直接アクセスを明示的に許可する Amplify サービスロールを作成する方法について説明します。

サービスロールの作成

サービスロールを作成する
  1. IAM コンソールを開き、左側のナビゲーションバーからロールを選択し、ロールの作成 を選択します。

  2. [信頼されたエンティティを選択] ページで、[AWS サービス] を選択します。ユースケース では、Amplify を選択し、Next を選択します。

  3. [アクセス許可を追加] ページで [次へ] を選択します。

  4. 名前、表示、作成 ページで、ロール名に などの意味のある名前を入力しますAmplifyConsoleServiceRole-AmplifyRole

  5. すべてのデフォルトを受け入れ、ロール を作成する を選択します。

  6. Amplify コンソールに戻り、ロールをアプリにアタッチします。

    • 新しいアプリをデプロイしている場合は、次の操作を行います。

      1. サービスロールのリストを更新します。

      2. 作成したロールを選択します。この例では、 AmplifyConsoleServiceRole-AmplifyRole のようになります。

      3. Next を選択し、手順に従ってアプリのデプロイを完了します。

    • 既存のアプリがある場合は、次の操作を行います。

      1. ナビゲーションペインで、アプリケーション設定 を選択し、全般設定 を選択します。

      2. 全般設定ページで、編集 を選択します。

      3. 全般設定の編集ページで、サービスロールリストから作成したロールを選択します。

      4. [Save] を選択します。

  7. Amplify コンソールに、アプリケーションのバックエンドリソースをデプロイするアクセス許可が付与されるようになりました。

混乱した代理を防ぐためにロールの信頼ポリシーを編集する

混乱した代理問題とは、アクションを実行する許可を持たないエンティティが、より高い特権を持つエンティティにそのアクションの実行を強制できるというセキュリティ問題です。詳細については、「サービス間の混乱した代理の防止」を参照してください。

現在、Amplify-Backend Deploymentサービスロールのデフォルトの信頼ポリシーでは、代理の混乱を防ぐためにaws:SourceArnaws:SourceAccountのグローバルコンテキスト条件キーが適用されています。ただし、以前にアカウントにAmplify-Backend Deploymentロールを作成したことがある場合は、ロールの信頼ポリシーを更新してこれらの条件を追加することで、代理が混乱するのを防ぐことができます。

次の例を使用して、アカウント内のアプリへのアクセスを制限します。例のリージョンとアプリケーション ID を独自の情報に置き換えます。

"Condition": { "ArnLike": { "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*" }, "StringEquals": { "aws:SourceAccount": "123456789012" } }

を使用してロールの信頼ポリシーを編集する手順については AWS Management Console、 IAM ユーザーガイド「ロールの変更 (コンソール)」を参照してください。