翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ポートフォリオの共有とインポート
AWS Service Catalog 製品を、AWS アカウントに属していないユーザー (他の組織のユーザー、または組織内の他の AWS アカウントに属しているユーザーなど) が利用できるようにするには、ポートフォリオをそれらのユーザーと共有します。共有は、アカウント間共有、組織共有、スタックセットを使用したカタログのデプロイなど、いくつかの方法で実行できます。
製品とポートフォリオを他のアカウントと共有する前に、カタログの参照を共有するか、カタログのコピーを各受信者アカウントにデプロイするかを決定する必要があります。コピーをデプロイする場合、受信者アカウントに反映する更新が発生したら再デプロイする必要があります。
スタックセットを使用して、同時に複数のアカウントにカタログをデプロイできます。参照 (元のバージョンとの同期が維持されるポートフォリオのインポートバージョン) を共有する場合、アカウント間共有を使用するか、AWS Organizations を使用して共有することができます。
スタックセットを使用してカタログのコピーをデプロイする場合、「会社標準 AWS Service Catalog 製品の、マルチリージョンでマルチアカウントのカタログを設定する方法
アカウント間共有または AWS Organizations を使用してポートフォリオを共有するときに、他の AWS アカウントの AWS Service Catalog 管理者が、管理者のアカウントにポートフォリオをインポートし、そのアカウントのエンドユーザーに製品を配信できるようにします。
このインポートされたポートフォリオは独立コピーではありません。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。ポートフォリオを共有する管理者である受信者管理者は、製品または制約を変更することはできませんが、エンドユーザーに対して AWS Identity and Access Management (IAM) アクセス権限を追加できます。詳細については、「ユーザーへのアクセス権限の付与」を参照してください。
受信者管理者は、次の方法で、自身の AWS アカウントに属しているエンドユーザーに製品を配信できます。
-
IAM ユーザー、グループ、ロールを、インポートされたポートフォリオに追加する
-
インポートされたポートフォリオからローカルポートフォリオに製品を追加することにより、受信者管理者が作成し、自身の AWS アカウントに属する別のポートフォリオが作成されます。次に、受信者管理者は、ローカルポートフォリオに IAM ユーザー、グループ、およびロールを追加します。共有ポートフォリオで製品に適用した制約は、ローカルポートフォリオにも存在します。受信者管理者は、ローカルポートフォリオに制限を追加することができますが、インポートされた制約を削除することはできません。
共有ポートフォリオに製品または制約を追加または削除すると、変更はポートフォリオのすべてのインポートされたインスタンスに伝搬されます。たとえば、共有ポートフォリオから製品を削除する場合、その製品はインポートされたポートフォリオからも削除されます。また、製品が追加されたすべてのローカルポートフォリオからも削除されます。削除する前にエンドユーザーが製品を起動した場合、エンドユーザーのプロビジョニング済み製品は実行し続けますが、それ以降の起動では使用できなくなります。
共有ポートフォリオで製品に起動制約を適用する場合、製品のすべてのインポートされたインスタンスに伝搬されます。この起動制約を上書きするには、受信者管理者はローカルポートフォリオに製品を追加し、別の起動制約を適用します。有効な起動制約により、製品の起動ロールが設定されます。
起動ロールは、エンドユーザーが製品を起動するときに、AWS リソース (EC2 インスタンスや RDS データベースなど) をプロビジョニングするために AWS Service Catalog が使用する IAM ロールです。管理者は、特定の起動ロール ARN またはローカルロール名を指定できます。ロール ARN を使用する場合、起動ロールを所有しているのとは別の AWS アカウントにエンドユーザが属している場合でも、そのロールが使用されます。ローカルロール名を使用する場合、エンドユーザーのアカウントでその名前を持つ IAM ロールが使用されます。
起動制約と起動ロールの詳細については、「AWS Service Catalog の起動制約」を参照してください。起動ロールを所有する AWS アカウントが、AWS リソースをプロビジョニングし、このアカウントにより、これらのリソースの使用料金が発生します。詳細については、AWS Service Catalog の料金
この動画では、AWS Service Catalog のアカウント間でポートフォリオを共有する方法について説明します。
インポートまたは共有されたポートフォリオの製品を再共有することはできません。
ポートフォリオのインポートは、管理アカウントと依存アカウント間の同じリージョンで実行する必要があります。
共有ポートフォリオとインポートされたポートフォリオの関係
この表に、インポートされたポートフォリオと共有ポートフォリオの関係、およびポートフォリオをインポートする管理者が、そのポートフォリオとポートフォリオ内の製品で実行できることと、実行できないことの概要を示します。
| 共有ポートフォリオの要素 | インポートされたポートフォリオとの関係 | 受信者の管理者が実行できること | 受信者の管理者が実行できないこと |
|---|---|---|---|
| 製品と製品バージョン |
継承されます。 ポートフォリオ作成者が共有ポートフォリオに製品を追加または削除すると、変更はインポートされたポートフォリオに伝播されます。 |
インポートされた製品をポートフォリオに追加する。製品は、共有ポートフォリオとの同期を維持します。 |
インポートされたポートフォリオに製品をアップロード、追加、または削除する。 |
| 起動制約 |
継承されます。 ポートフォリオ作成者が共有製品に起動制約を追加または削除すると、変更は製品のすべてのインポートされたインスタンスに伝播されます。 受取人管理者がインポートされた製品をローカルポートフォリオに追加すると、インポートされた起動制約がローカルポートフォリオにも引き継がれません。 |
ローカルポートフォリオで、管理者は製品のローカル起動に影響する起動制約を適用できます。 |
インポートされたポートフォリオとの間で、起動制約を追加または削除する。 |
| テンプレート制約 |
継承されます。 ポートフォリオ作成者がテンプレート制約を共有製品に追加または削除すると、変更は製品のすべてインポートされたインスタンスに伝搬されます。 受取人管理者がインポートされた製品をローカルポートフォリオに追加すると、インポートされたテンプレート制約がローカルポートフォリオにも引き継がれません。 |
ローカルポートフォリオで、管理者はローカル製品を制約するテンプレート制約を追加できます。 |
インポートされたテンプレートの制約を削除する。 |
| IAM ユーザー、グループ、ロール | 継承されません。 | 管理者の AWS アカウントに属する IAM ユーザー、グループ、およびロールを追加する。 | 該当しません。 |
