ポートフォリオの共有とインポート - AWS Service Catalog

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

ポートフォリオの共有とインポート

AWS Service Catalog 製品を、AWS アカウントに属していないユーザー (他の組織のユーザー、または組織内の他の AWS アカウントに属しているユーザーなど) が利用できるようにするには、ポートフォリオをそれらのユーザーと共有します。アカウント間共有、組織共有、スタックセットを使用したカタログのデプロイなど、いくつかの方法で共有できます。

製品とポートフォリオを他のアカウントと共有する前に、カタログの参照を共有するか、カタログのコピーを各受信者アカウントにデプロイするかを決定する必要があります。コピーをデプロイする場合、受信者アカウントに反映する更新が発生したら再デプロイする必要があります。

スタックセットを使用して、同時に複数のアカウントにカタログをデプロイできます。参照 (元のバージョンとの同期が維持されるポートフォリオのインポートバージョン) を共有する場合、アカウント間共有を使用するか、 を使用して共有することができます。AWS Organizations.

スタックセットを使用してカタログのコピーをデプロイする場合、「会社標準 AWS Service Catalog 製品の、マルチリージョンでマルチアカウントのカタログを設定する方法.」を参照してください。

アカウント間共有または AWS Organizations を使用してポートフォリオを共有するときに、他の AWS アカウントの AWS Service Catalog 管理者が、管理者のアカウントにポートフォリオをインポートし、そのアカウントのエンドユーザーに製品を配信できるようにします。

このインポートされたポートフォリオは独立コピーではありません。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。ポートフォリオを共有する管理者である受取人管理者は、製品または制約を変更することはできませんが、エンドユーザーに対して AWS Identity and Access Management (IAM) アクセス権限を追加できます。詳細については、「」を参照してください。ユーザーへのアクセス権限の付与.

受取人管理者は、次の方法で、自身の AWS アカウントに属しているエンドユーザーに製品を配信できます。

  • IAM ユーザー、グループ、ロールを、インポートされたポートフォリオに追加する

  • インポートされたポートフォリオからローカルポートフォリオに製品を追加することにより、受取人管理者が作成し、自身の AWS アカウントに属する別のポートフォリオが作成されます。次に、受取人管理者は、ローカルポートフォリオに IAM ユーザー、グループ、およびロールを追加します。共有ポートフォリオで製品に適用した制約は、ローカルポートフォリオにも存在します。受取人管理者は、ローカルポートフォリオに制限を追加することができますが、インポートされた制約を削除することはできません。

共有ポートフォリオに製品または制約を追加または削除すると、変更はポートフォリオのすべてのインポートされたインスタンスに伝搬されます。たとえば、共有ポートフォリオから製品を削除する場合、その製品はインポートされたポートフォリオからも削除されます。また、製品が追加されたすべてのローカルポートフォリオからも削除されます。削除する前にエンドユーザーが製品を起動した場合、エンドユーザーのプロビジョニング済み製品は実行し続けますが、それ以降の起動では使用できなくなります。

共有ポートフォリオで製品に起動制約を適用する場合、製品のすべてのインポートされたインスタンスに伝搬されます。この起動制約を上書きするには、受取人管理者はローカルポートフォリオに製品を追加し、別の起動制約を適用します。有効な起動制約により、製品の起動ロールが設定されます。

起動ロールは、エンドユーザーが製品を起動するときに リソース (EC2 インスタンスや RDS データベースなど) をプロビジョニングするために AWS Service Catalog が使用する IAM ロールです。AWS管理者は、特定の起動ロール ARN またはローカルロール名を指定できます。ロール ARN を使用する場合、起動ロールを所有しているのとは別の AWS アカウントにエンドユーザが属している場合でも、そのロールが使用されます。ローカルロール名を使用する場合、エンドユーザーのアカウントでその名前を持つ IAM ロールが使用されます。

起動制約と起動ロールの詳細については、「」を参照してください。AWS Service Catalog の起動制約. 起動ロールを所有する AWS アカウントが、AWS リソースをプロビジョニングし、このアカウントにより、これらのリソースの使用料金が発生します。詳細については、「AWS Service Catalog 料金表.」を参照してください。

注記

インポートまたは共有されたポートフォリオの製品を再共有することはできません。

共有ポートフォリオとインポートされたポートフォリオの関係

次の表に、インポートされたポートフォリオと共有ポートフォリオの関係、およびポートフォリオをインポートする管理者が、そのポートフォリオとポートフォリオ内の製品で実行できることと、実行できないことの概要を示します。

共有ポートフォリオの要素 インポートされたポートフォリオとの関係 受取人の管理者が実行できること 受取人の管理者が実行できないこと
製品と製品バージョン

継承されます。

ポートフォリオ作成者が共有ポートフォリオに製品を追加または削除すると、変更はインポートされたポートフォリオに伝播されます。

インポートされた製品をポートフォリオに追加する。製品は、共有ポートフォリオとの同期を維持します。

インポートされたポートフォリオに製品をアップロード、追加、または削除する。

起動制約

継承されます。

ポートフォリオ作成者が共有製品に起動制約を追加または削除すると、変更は製品のすべてのインポートされたインスタンスに伝播されます。

受取人管理者がインポートされた製品をローカルポートフォリオに追加すると、その製品に適用された、インポートされた起動制約が、ローカルポートフォリオにも存在します。

ローカルポートフォリオで、管理者は別の起動制約を製品に適用して、インポートされた起動制約を上書きできます。

インポートされたポートフォリオとの間で、起動制約を追加または削除する。

テンプレート制約

継承されます。

ポートフォリオ作成者がテンプレート制約を共有製品に追加または削除すると、変更は製品のすべてインポートされたインスタンスに伝搬されます。

受取人管理者がインポートされた製品をローカルポートフォリオに追加すると、製品に適用された、インポートされたテンプレート制約がローカルポートフォリオによって継承されます。

ローカルポートフォリオで、管理者は、インポートされた制約に加えて有効になるテンプレート制約を追加できます。

インポートされたテンプレートの制約を削除する。

IAM ユーザー、グループ、ロール 継承されません。 管理者の AWS アカウントに属する IAM ユーザー、グループ、およびロールを追加する。 該当しません。