ステップ 1. 必要なロールを作成する - AWS Control Tower

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 1. 必要なロールを作成する

アカウントのカスタマイズを開始する前に、AWS Control Tower とハブアカウント間の信頼関係を含んでいるロールを設定する必要があります。引き受けると、ロールはハブアカウントのリソースを管理するためのアクセス権を AWS Control Tower に付与します。ロールの名前は AWSControlTowerBlueprintAccess にする必要があります。

AWS Control Tower はこのロールを引き受けて、ユーザーに代わってポートフォリオリソースを作成し AWS Service Catalog、ブループリントを Service Catalog 製品としてこのポートフォリオに追加し、アカウントプロビジョニング中にこのポートフォリオとブループリントをメンバーアカウントと共有します。

以下のセクションの説明に従って、AWSControlTowerBlueprintAccess ロールを作成します。ロールは、登録済みアカウントまたは未登録アカウントで設定できます。

IAM コンソールに移動して、必要なロールを設定します。

登録済みの AWS Control Tower アカウントで AWSControlTowerBlueprintAccess ロールを設定するには

  1. AWS Control Tower 管理アカウントにプリンシパルとしてフェデレートまたはサインインします。

  2. 管理アカウントのフェデレーションプリンシパルから、ブループリントハブアカウントとして機能するように選択した登録済みの AWS Control Tower アカウントの AWSControlTowerExecution ロールを継承するか、ロールを切り替えます。

  3. 登録した AWS Control Tower アカウントの AWSControlTowerExecution ロールから、適切な権限と信頼関係を持つ AWSControlTowerBlueprintAccess ロールを作成します。

重要

AWS ベストプラクティスガイダンスに準拠するには、AWSControlTowerExecutionロールの作成直後にAWSControlTowerBlueprintAccessロールからサインアウトすることが重要です。

AWSControlTowerExecution ロールは、リソースの意図しない変更を防ぐために、AWS Control Tower でのみ使用することを目的としています。

ブループリントハブアカウントが AWS Control Tower に登録されていない場合は、AWSControlTowerExecution ロールがアカウントに存在しないため、AWSControlTowerBlueprintAccess ロールのセットアップを続行する前にロールを継承する必要はありません。

未登録のメンバーアカウントで AWSControlTowerBlueprintAccess ロールを設定するには

  1. 推奨されている方法で、ハブアカウントとして指定したいアカウントにプリンシパルとしてフェデレートまたはサインインします。

  2. アカウントにプリンシパルとしてログインしたら、適切な権限と信頼関係を持つ AWSControlTowerBlueprintAccess ロールを作成します。

AWSControlTowerBlueprintAccess ロールは、次の 2 つのプリンシパルに信頼を付与するように設定する必要があります。

  • AWS Control Tower 管理アカウントで AWS Control Tower を実行するプリンシパル (ユーザー)。

  • AWS Control Tower 管理アカウントの AWSControlTowerAdmin という名前のロール。

次に信頼ポリシーの例を示します。これは、ロールに含める必要があるポリシーと似ています。このポリシーは、最小特権アクセスの付与のベストプラクティスを示しています。独自のポリシーを作成する場合は、YourManagementAccountId を AWS Control Tower 管理アカウントの実際のアカウント ID で置き換え、YourControlTowerUserRole を管理アカウントの IAM ロールの識別子で置き換えます。

JSON
{
    "Version": "2012-10-17"		 	 	 ,
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "AWS": [
                    "arn:aws:iam::111122223333:role/service-role/AWSControlTowerAdmin",
                    "arn:aws:iam::111122223333:role/YourControlTowerUserRole"
                ]
            },
            "Action": "sts:AssumeRole"
        }
    ]
}

必要なアクセス許可ポリシー

AWS Control Tower では、AWSServiceCatalogAdminFullAccess という名前の管理ポリシーを AWSControlTowerBlueprintAccess ロールにアタッチする必要があります。このポリシーは、AWS Control Tower がポートフォリオと AWS Service Catalog 製品リソースを管理できるようにするときに AWS Service Catalog が検索するアクセス許可を提供します。このポリシーは、IAM コンソールでロールを作成するときにアタッチできます。

追加のアクセス許可が必要な場合があります

  • ブループリントを Amazon S3 に保存する場合、AWS Control Tower には AWSControlTowerBlueprintAccess ロールの AmazonS3ReadOnlyAccess アクセス許可ポリシーも必要です。

  • デフォルトの管理ポリシーを使用しない場合、 AWS Service Catalog Terraform タイプの製品では、AFC カスタム IAM ポリシーにいくつかのアクセス許可を追加する必要があります。Terraform テンプレートで定義するリソースを作成するために必要なアクセス許可に加えて、これらが必要です。