ポートフォリオの共有とインポート - AWS Service Catalog
共有ポートフォリオとインポートされたポートフォリオの関係

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ポートフォリオの共有とインポート

AWS Service Catalog 製品を、AWS アカウント に属していないユーザー (他の組織のユーザー、または組織内の他の AWS アカウント に属しているユーザーなど) が利用できるようにするには、ポートフォリオをそれらのユーザーと共有します。共有は、 account-to-account 共有、組織共有、スタックセットを使用したカタログのデプロイなど、いくつかの方法で共有できます。

製品とポートフォリオを他のアカウントと共有する前に、カタログの参照を共有するか、カタログのコピーを各受信者アカウントにデプロイするかを決定する必要があります。コピーをデプロイする場合、受信者アカウントに反映する更新が発生したら再デプロイする必要があります。

スタックセットを使用して、同時に複数のアカウントにカタログをデプロイできます。リファレンス (インポートされたバージョンのポートフォリオが元のバージョンと同期している場合) を共有する場合は、 account-to-account 共有を使用するか、 を使用して共有できますAWS Organizations。

スタックセットを使用してカタログのコピーを展開するには、「企業標準 AWS Service Catalog 製品のマルチリージョン、マルチアカウントカタログをセットアップする方法」を参照してください。

account-to-account 共有 または を使用してポートフォリオを共有する場合AWS Organizations、別のAWSアカウントのAWS Service Catalog管理者がポートフォリオをアカウントにインポートし、そのアカウントのエンドユーザーに製品を配布できるようにします。

このインポートされたポートフォリオは独立コピーではありません。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。ポートフォリオを共有する管理者である受信者管理者は、製品または制約を変更することはできませんが、エンドユーザーに対して AWS Identity and Access Management (IAM) アクセス権限を追加できます。詳細については、「ユーザーへのアクセス権限の付与」を参照してください。

受信者管理者は、次の方法で、自身の AWS アカウントに属しているエンドユーザーに製品を配信できます。

  • インポートされたポートフォリオにユーザー、グループ、ロールを追加します。

  • インポートされたポートフォリオからローカルポートフォリオに製品を追加することにより、受信者管理者が作成し、自身の AWS アカウントに属する別のポートフォリオが作成されます。次に、受信者の管理者は、そのローカルポートフォリオにユーザー、グループ、およびロールを追加します。共有ポートフォリオで製品に適用した制約は、ローカルポートフォリオにも存在します。ローカルポートフォリオの受信者管理者は、制限を追加することができますが、共有ポートフォリオから最初にインポートされた制約を削除することはできません。

共有ポートフォリオに製品または制約を追加または削除すると、変更はポートフォリオのすべてのインポートされたインスタンスに伝搬されます。たとえば、共有ポートフォリオから製品を削除する場合、その製品はインポートされたポートフォリオからも削除されます。また、製品が追加されたすべてのローカルポートフォリオからも削除されます。削除する前にエンドユーザーが製品を起動した場合、エンドユーザーのプロビジョニング済み製品は実行し続けますが、それ以降の起動では使用できなくなります。

共有ポートフォリオで製品に起動制約を適用する場合、製品のすべてのインポートされたインスタンスに伝搬されます。この起動制約を上書きするには、受信者管理者はローカルポートフォリオに製品を追加し、別の起動制約を適用します。有効な起動制約により、製品の起動ロールが設定されます。

起動ロールは、エンドユーザーが製品を起動するときに、AWS リソース (Amazon EC2 インスタンスや Amazon RDS データベースなど) をプロビジョニングするために AWS Service Catalog が使用する IAM ロールです。管理者は、特定の起動ロール ARN またはローカルロール名を指定できます。ロール ARN を使用する場合、エンドユーザーが起動ロールを所有するアカウントとは異なる AWS アカウントに属している場合でも、そのロールが使用されます。ローカルロール名を使用する場合、エンドユーザーのアカウントでその名前を持つ IAM ロールが使用されます。

起動制約と起動ロールの詳細については、「AWS Service Catalog の起動制約」を参照してください。起動ロールを所有する AWS アカウントが、AWS リソースをプロビジョニングし、このアカウントにより、これらのリソースの使用料金が発生します。詳細については、「AWS Service Catalogの料金」を参照してください。

この動画では、AWS Service Catalog のアカウント間でポートフォリオを共有する方法を説明します。

注記

インポートまたは共有されたポートフォリオの製品を再共有することはできません。

注記

ポートフォリオのインポートは、管理アカウントと依存アカウント間の同じリージョンで実行する必要があります。

共有ポートフォリオとインポートされたポートフォリオの関係

この表に、インポートされたポートフォリオと共有ポートフォリオの関係、およびポートフォリオをインポートする管理者が、そのポートフォリオとポートフォリオ内の製品で実行できることと、実行できないことの概要を示します。

共有ポートフォリオの要素 インポートされたポートフォリオとの関係 受信者の管理者が実行できること 受信者の管理者が実行できないこと
製品と製品バージョン

継承されます。

ポートフォリオ作成者が共有ポートフォリオに製品を追加または削除すると、変更はインポートされたポートフォリオに伝播されます。

インポートされた製品をポートフォリオに追加する。製品は、共有ポートフォリオとの同期を維持します。

インポートされたポートフォリオに製品をアップロード、追加、または削除する。
起動制約

継承されます。

ポートフォリオ作成者が共有製品に起動制約を追加または削除すると、変更は製品のすべてのインポートされたインスタンスに伝播されます。

受信者の管理者がインポートされた製品をローカルポートフォリオに追加した場合、そのインポートされた起動制約は共有ポートフォリオには引き継がれません。

 ローカルポートフォリオでは、管理者は製品のローカルリリースに影響する起動制約を適用できます。

インポートされたポートフォリオとの間で、起動制約を追加または削除する。
テンプレート制約

継承されます。

ポートフォリオ作成者がテンプレート制約を共有製品に追加または削除すると、変更は製品のすべてインポートされたインスタンスに伝搬されます。

受信者管理者がインポートされた製品をローカルポートフォリオに追加した場合、インポートされたテンプレートの制約はローカルポートフォリオに引き継がれません。

ローカルポートフォリオでは、管理者はローカル製品を制約するテンプレート制約を追加できます。

インポートされたテンプレートの制約を削除する。
ユーザー、グループ、およびロール 継承されません。 管理者の AWS アカウントに属するユーザー、グループ、およびロールを追加する。 該当しません。