サービスロールの追加 - AWS Amplify ホスティング
サービスロールの作成混乱した代理の防止

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスロールの追加

Amplify では、フロントエンドでバックエンドリソースをデプロイするためのアクセス許可が必要です。このアクセス許可を付与するには、サービスロールを使用します。サービスロールは、Amplify がユーザーに代わって他のサービスを呼び出すときに引き受ける AWS Identity and Access Management (IAM) ロールです。このガイドでは、アカウント管理アクセス許可を持ち、Amplify アプリケーションがバックエンドのデプロイ、作成、管理に必要なリソースへの直接アクセスを明示的に許可する Amplify サービスロールを作成する方法について説明します。

サービスロールの作成

サービスロールを作成する

  1. IAM コンソールを開き、左側のナビゲーションバーから [ロール] を選択して、[ロールの作成] を選択します。

  2. [信頼されたエンティティを選択] ページで、[AWS サービス] を選択します。ユースケース で、Amplify を選択し、次を選択します。

  3. [アクセス許可を追加] ページで [次へ] を選択します。

  4. 名前、表示、作成 ページで、ロール名に などのわかりやすい名前を入力しますAmplifyConsoleServiceRole-AmplifyRole

  5. すべてのデフォルトを受け入れ、ロールの作成 を選択します。

  6. Amplify コンソールに戻り、アプリにロールをアタッチします。

    • 新しいアプリケーションをデプロイ中である場合

      1. サービスロールのリストを更新します。

      2. 作成したロールを選択します。この例では、 AmplifyConsoleServiceRole-AmplifyRole のようになります。

      3. へ を選択し、手順に従ってアプリケーションのデプロイを完了します。

    • 既存のアプリがある場合

      1. ナビゲーションペインで、アプリ設定 一般設定 を選択します。

      2. 全般設定ページで、編集 を選択します。

      3. 一般設定の編集ページで、サービスロールリストから作成したロールを選択します。

      4. [保存] を選択します。

  7. Amplify コンソールに、アプリケーションのバックエンドリソースをデプロイするアクセス許可が付与されました。

混乱した代理の防止

混乱した代理問題とは、アクションを実行する許可を持たないエンティティが、より高い特権を持つエンティティにそのアクションの実行を強制できるというセキュリティ問題です。詳細については、「サービス間の混乱した代理の防止」を参照してください。

現在、Amplify-Backend Deploymentサービスロールのデフォルトの信頼ポリシーでは、代理の混乱を防ぐためにaws:SourceArnaws:SourceAccountのグローバルコンテキスト条件キーが適用されています。ただし、以前にアカウントにAmplify-Backend Deploymentロールを作成したことがある場合は、ロールの信頼ポリシーを更新してこれらの条件を追加することで、代理が混乱するのを防ぐことができます。

次の例を使用して、アカウント内のアプリへのアクセスを制限します。例のリージョンとアプリケーション ID をユーザー自身の情報に置き換えます。

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

を使用してロールの信頼ポリシーを編集する手順については AWS Management Console、IAM ユーザーガイドの「ロールの変更 (コンソール)」を参照してください。