ロールを使用して AWS Marketplace の使用権限を共有する

AWS Marketplace は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用します。サービスリンクロールは、AWS Marketplace に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、AWS Marketplace による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべての権限を備えています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Marketplace の設定が簡単になります。AWS Marketplace はサービスにリンクされたロールのアクセス許可を定義し、別途定義されている場合を除き、AWS Marketplace のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

AWS Marketplace サブスクリプションを AWS 組織内の他のアカウントと AWS License Manager で共有するには、共有するアカウントごとに AWS Marketplace アクセス許可を付与する必要があります。これを行うには、AWSServiceRoleForMarketplaceLicenseManagement ロールを使用します。詳細については、「AWS Marketplace のサービスリンクロールの作成」を参照してください。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動する AWS サービス」を参照し、[サービスにリンクされたロール] の列内で [はい] と表記されたサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] を選択します。

AWS Marketplace のサービスリンクロールの権限

AWS Marketplace は、 AWSServiceRoleForMarketplaceLicenseManagement という名前のサービスにリンクされたロールを使用します。このロールは、AWS Marketplace でサブスクライブしている製品のライセンスを AWS License Manager で作成し、管理するアクセス許可を AWS Marketplace に付与します。

AWSServiceRoleForMarketplaceLicenseManagement というサービスにリンクされたロールは、お客様に代わって License Manager でアクションを実行するために、次のサービスを信頼します。

• license-management.marketplace.amazonaws.com

AWSMarketplaceLicenseManagementServiceRolePolicy という名前のロールアクセス許可ポリシーを使用すると、AWS Marketplace は指定されたリソースに対して次のアクションを完了できます。

• アクション:

  • "organizations:DescribeOrganization"

  • "license-manager:ListReceivedGrants"

  • "license-manager:ListDistributedGrants"

  • "license-manager:GetGrant"

  • "license-manager:CreateGrant"

  • "license-manager:CreateGrantVersion"

  • "license-manager:DeleteGrant"

  • "license-manager:AcceptGrant"

• リソース:

  • すべてのリソース ("*")

サービスリンクロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクされたロールのアクセス許可」を参照してください。

AWS Marketplace のサービスリンクロールの作成

AWS Marketplace は、AWS License Manager との統合をセットアップする前に、お客様に代わってサービスにリンクされたロールを作成します。

AWS Marketplace によって、組織内のすべてのアカウントに対して一度にサービスにリンクされたロールを作成するか、1 つのアカウントに対して一度にサービスリンクロールを作成するように指定するかを指定できます。すべてのアカウントでサービスにリンクされたロールを作成するオプションは、組織で [すべての機能] が有効になっている場合にのみ使用できます。詳細については、「AWS Organizations ユーザーガイド」の「組織内のすべての機能の有効化」を参照してください。

すべてのアカウントでサービスにリンクされたロールを作成するには

1. AWS Marketplace コンソールでサインインし、[設定] を選択します。

2. [AWS Organizations 統合] セクションで、[統合を作成] を選択します。

3. [AWS Organizations 統合を作成] ページで、[組織全体で信頼できるアクセスを有効にする] を選択し、[統合を作成] を選択します。

   注記

   この設定により、AWS Organizations 内の信頼が可能になります。その結果、現在のアクションに加えて、今後組織に追加されるアカウントには、サービスにリンクされたロールが自動的に追加されます。

現在のアカウントにサービスにリンクされたロールを作成するには

1. AWS Marketplace コンソールでサインインし、[設定] を選択します。

2. [AWS Organizations 統合] セクションで、[統合を構成する] を選択します。

3. [AWS Organizations 統合を作成] ページで、[このアカウントの AWS Marketplace ライセンス管理サービスにリンクされたロール] を選択し、次に [統合を作成] を選択します。

重要

現在のアカウントに対してのみサービスにリンクされたロールを作成することを選択した場合、組織全体で信頼されたアクセスを有効にすることはできません。AWS Marketplace ライセンスを共有 (付与または受領) するアカウントごとに、これらの手順を繰り返す必要があります。これには、組織に今後追加されるアカウントも含まれます。

AWS Marketplace のサービスにリンクされたロールの編集

AWS Marketplace では、このサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS Marketplace のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、AWS Marketplace のサービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールである AWSServiceRoleForMarketplaceLicenseManagement を削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS Marketplace のサービスにリンクされたロールをサポートするリージョン

AWS Marketplace では、このサービスが利用可能なすべての AWS リージョン で、サービスリンクロールの使用をサポートしています。詳細については、「AWS Marketplace リージョンとエンドポイント」を参照してください。