ポートフォリオの共有とインポート - AWS Service Catalog

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ポートフォリオの共有とインポート

AWS Service Catalog製品を、に属していないユーザー (他の組織のユーザーAWS アカウント、または組織内の他のに属しているユーザーなど) が利用できるようにするには、ポートフォリオをそれらのユーザーと共有します。AWS アカウント共有は、共有、 account-to-account 組織共有、スタックセットを使用したカタログのデプロイなど、いくつかの方法で実行できます。

製品とポートフォリオを他のアカウントと共有する前に、カタログの参照を共有するか、カタログのコピーを各受信者アカウントにデプロイするかを決定する必要があります。コピーをデプロイする場合、受信者アカウントに反映する更新が発生したら再デプロイする必要があります。

スタックセットを使用して、同時に複数のアカウントにカタログをデプロイできます。参照 (元のバージョンとの同期が維持されるポートフォリオのインポートバージョン) を共有する場合、 account-to-account 共有を使用するか、を使用して共有することができますAWS Organizations。

スタックセットを使用してカタログのコピーをデプロイするには、「AWS Service Catalog企業標準製品のマルチリージョン、マルチアカウントのカタログを設定する方法」を参照してください。

account-to-account 共有またはを使用してポートフォリオを共有するときにAWS Organizations、AWS Service CatalogAWS別のアカウントの管理者が、管理者のアカウントにポートフォリオをインポートし、そのアカウントのエンドユーザーに製品を配信できるようにします。

このインポートされたポートフォリオは独立コピーではありません。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。ポートフォリオを共有する管理者である受信者管理者は、製品または制約を変更することはできませんが、エンドユーザーに対して AWS Identity and Access Management (IAM) アクセス権限を追加できます。詳細については、「ユーザーへのアクセス権限の付与」を参照してください。

受信者管理者は、次の方法で、AWSアカウントに属しているエンドユーザーに製品を配信できます。

  • IAM ユーザー、グループ、ロールを、インポートされたポートフォリオに追加する

  • インポートされたポートフォリオからローカルポートフォリオに製品を追加することにより、受信者管理者が作成し、自身の AWS アカウントに属する別のポートフォリオが作成されます。次に、受信者管理者は、ローカルポートフォリオに IAM ユーザー、グループ、およびロールを追加します。共有ポートフォリオで製品に適用した制約は、ローカルポートフォリオにも存在します。受信者管理者は、ローカルポートフォリオに制限を追加することができますが、インポートされた制約を削除することはできません。

共有ポートフォリオに製品または制約を追加または削除すると、変更はポートフォリオのすべてのインポートされたインスタンスに伝搬されます。たとえば、共有ポートフォリオから製品を削除する場合、その製品はインポートされたポートフォリオからも削除されます。また、製品が追加されたすべてのローカルポートフォリオからも削除されます。削除する前にエンドユーザーが製品を起動した場合、エンドユーザーのプロビジョニング済み製品は実行し続けますが、それ以降の起動では使用できなくなります。

共有ポートフォリオで製品に起動制約を適用する場合、製品のすべてのインポートされたインスタンスに伝搬されます。この起動制約を上書きするには、受信者管理者はローカルポートフォリオに製品を追加し、別の起動制約を適用します。有効な起動制約により、製品の起動ロールが設定されます。

起動ロールは、エンドユーザーが製品を起動するときに、AWSリソース (Amazon EC2 インスタンスや Amazon RDS データベースなど)AWS Service Catalog をプロビジョニングするために使用する IAM ロールです。管理者は、特定の起動ロール ARN またはローカルロール名を指定できます。ロール ARN を使用する場合、起動ロールを所有しているのとは別のAWSアカウントにエンドユーザが属している場合でも、そのロールが使用されます。ローカルロール名を使用する場合、エンドユーザーのアカウント内のその名前の IAM ロールが使用されます。

起動制約と起動ロールの詳細については、「AWS Service Catalog の起動制約」を参照してください。起動ロールを所有する AWS アカウントが、AWS リソースをプロビジョニングし、このアカウントにより、これらのリソースの使用料金が発生します。詳細については、「AWS Service Catalog の料金」を参照してください。

この動画では、のアカウント間でポートフォリオを共有する方法について説明しますAWS Service Catalog。

注記

インポートまたは共有されたポートフォリオの製品を再共有することはできません。

注記

ポートフォリオのインポートは、管理アカウントと依存アカウント間の同じリージョンで実行する必要があります。

共有ポートフォリオとインポートされたポートフォリオの関係

この表に、インポートされたポートフォリオと共有ポートフォリオの関係、およびポートフォリオをインポートする管理者が、そのポートフォリオとポートフォリオ内の製品で実行できることと、実行できないことの概要を示します。

共有ポートフォリオの要素 インポートされたポートフォリオとの関係 受信者の管理者が実行できること 受信者の管理者が実行できないこと
製品と製品バージョン

継承されます。

ポートフォリオ作成者が共有ポートフォリオに製品を追加または削除すると、変更はインポートされたポートフォリオに伝播されます。

インポートされた製品をポートフォリオに追加する。製品は、共有ポートフォリオとの同期を維持します。

インポートされたポートフォリオに製品をアップロード、追加、または削除する。

起動制約

継承されます。

ポートフォリオ作成者が共有製品に起動制約を追加または削除すると、変更は製品のすべてのインポートされたインスタンスに伝播されます。

受信者管理者がインポートされた製品をローカルポートフォリオに追加すると、インポートされた起動制約がローカルポートフォリオにも引き継がれません。

ローカルポートフォリオでは、管理者は製品のローカル起動に影響する起動制限を適用できます。

インポートされたポートフォリオとの間で、起動制約を追加または削除する。

テンプレート制約

継承されます。

ポートフォリオ作成者がテンプレート制約を共有製品に追加または削除すると、変更は製品のすべてインポートされたインスタンスに伝搬されます。

受信者管理者がインポートされた製品をローカルポートフォリオに追加すると、インポートされたテンプレート制約がローカルポートフォリオにも引き継がれません。

ローカルポートフォリオでは、管理者はローカル製品を制約するテンプレート制約を追加できます。

インポートされたテンプレートの制約を削除する。

IAM ユーザー、グループ、ロール 継承されません。 AWS管理者アカウントに属する IAM ユーザー、グループ、およびロールを追加する。 該当しません。