AWS Service Catalog の起動制約 - AWS Service Catalog
起動ロールの設定起動制約の適用混乱した代理人を起動制約に追加する起動制約の検証

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Service Catalog の起動制約

起動制約は、エンドユーザーが製品を起動するときに AWS Service Catalog が引き受ける AWS Identity and Access Management (IAM) ロールを指定します。IAM ロールは、IAM ユーザーや AWS のサービスが、AWS のサービスを使用するために一時的に引き受けることができるアクセス権限のコレクションです。簡単な例については、「ステップ 6: 起動制約を追加して、[] を割り当てます。IAMロール」を参照してください。

起動制約は、ポートフォリオ (製品 - ポートフォリオの関連付け) 内の製品に適用されます。起動制約は、ポートフォリオレベルやすべてのポートフォリオにわたる製品に対して適用されません。起動の制約をポートフォリオ内のすべての製品に関連付けるには、起動の制約を各製品に個別に適用する必要があります。

起動制約がない場合、エンドユーザーは各自の IAM 認証情報を使用して製品を起動し、管理する必要があります。そのためには、AWS CloudFormation、製品で使用される AWS のサービス、および AWS Service Catalog のアクセス許可が必要です。起動ロールを使用することにより、エンドユーザーのアクセス権限をその製品に必要な最小限のものに制限することができます。エンドユーザーのアクセス権限の管理の詳細については、「AWS Service Catalog の Identity and Access Management」を参照してください。

IAM ロールを作成して割り当てるには、以下の IAM 管理者権限が必要です。

  • iam:CreateRole

  • iam:PutRolePolicy

  • iam:PassRole

  • iam:Get*

  • iam:List*

起動ロールの設定

起動の制約として製品に割り当てる IAM ロールには、以下を使用するアクセス権限が必要です。

  • AWS CloudFormation

  • 製品用の AWS CloudFormation テンプレートのサービス。

  • Amazon S3 の AWS CloudFormation テンプレートへの読み取りアクセス

IAM ロールの信頼ポリシーにより Service Catalog はロールを引き受けることができます。以下の手順では、選択すると信頼ポリシーが自動的に設定されますAWS Service Catalogロールタイプとして。コンソールを使用していない場合は、「次の信頼ポリシーの作成」を参照してください。AWSの「役割」を引き受けるサービスIAM ロールで信頼ポリシーを使用する方法

起動ロールを作成するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [ロール] を選択します。

  3. [Create New Role (新しいロールを作成)] を選択します。

  4. ロール名を入力し、[Next Step] を選択します。

  5. [AWS Service Catalog] の隣の [AWSサービスロール] で、[選択] を選択します。

  6. [Attach Policy] ページで、[Next Step] を選択します。

  7. ロールを作成するには、[Create Role] を選択します。

ポリシーを新しいロールにアタッチするには

  1. 作成したロールを選択して、[role details] ページを表示します。

  2. [Permissions] タブを選択して、[Inline Policies] セクションを展開します。次に、[click here] を選択します。

  3. [Custom Policy] を選択し、[Select] を選択します。

  4. ポリシーの名前を入力し、[Policy Document] エディタに次のように貼り付けます。

      "Statement":[
      {
         "Effect":"Allow",
         "Action":[
            "s3:GetObject"
         ],
         "Resource":"*",
         "Condition":{
            "StringEquals":{
               "s3:ExistingObjectTag/servicecatalog:provisioning":"true"
            }
         }
      }
   ]
}
    注記

    起動制約の起動ロールを設定する場合は、"s3:ExistingObjectTag/servicecatalog:provisioning":"true" の文字列を使用する必要があります。

  5. 製品で使用する追加のサービスごとに、ポリシーに行を追加します。例えば、Amazon Relational Database Service (Amazon RDS) のアクセス許可を追加するには、Action リストの最後の行の末尾にカンマを入力し、次の行を追加します。

    "rds:*"

  6. [Apply Policy] (ポリシーを適用) を選択します。

起動制約の適用

起動ロールを設定したら、起動制約として製品にロールを割り当てます。このアクションにより、エンドユーザーが製品を起動した際にロールを引き受けるよう AWS Service Catalog に指示します。

製品にロールに割り当てるには

  1. AWS Service Catalog コンソールを開きます (https://console.aws.amazon.com/servicecatalog/)。

  2. 製品を含むポートフォリオを選択します。

  3. [制約] タブを選択して、[Create constraint (制約の作成)] を選択します。

  4. [製品] から製品を選択し、[制約タイプ] の [起動] を選択します。[続行] を選択します。

  5. [起動の制約] セクションでは、アカウントから IAM ロールを選択して IAM ロール ARN を入力するか、ロール名を入力できます。

    ロール名を指定すると、アカウントが起動制約を使用する場合、アカウントは IAM ロールのその名前を使用します。このアプローチにより、起動ロールの制約をアカウントに依存しないようにできます。共有アカウントごとに作成するリソースを減らすことができます。

    注記

    指定されたロール名は、起動制約を作成したアカウントと、この起動制約を使用して製品を起動するユーザーのアカウントに存在している必要があります。

  6. IAM ロールを指定したら、[作成] を選択します。

混乱した代理人を起動制約に追加する

AWS Service Catalogサポートする混乱した代理の数Assume Role リクエストで実行される API の保護。起動制約を追加する場合、以下を使用して起動ロールのアクセスを制限できます。sourceAccountそしてsourceArn起動ロール信頼ポリシーの条件。これにより、起動ロールが信頼できるソースによって呼び出されることが保証されます。

次の例で、はです。AWS Service Catalogエンドユーザーはアカウント 111111111111 に属しています。時点AWS Service Catalog管理者がLaunchConstraint製品の場合、エンドユーザーは起動ロールの信頼ポリシーで次の条件を指定して、引き受けるロールをアカウント 11111111111111 に制限できます。

"Condition":{
   "ArnLike":{
      "aws:SourceArn":"arn:aws:servicecatalog:us-east-1:111111111111:*"
   },
   "StringEquals":{
      "aws:SourceAccount":"111111111111"
   }
  
}

で製品をプロビジョニングするユーザーLaunchConstraint同じでなければならないAccountId(11111111111111)。それ以外の場合、オペレーションは失敗となり、AccessDeniedエラー、起動ロールの誤用を防ぎます。

以下のようになりますAWS Service CatalogAPIは混乱した代理人の保護のために保護されています。

  • LaunchConstraint

  • ProvisionProduct

  • UpdateProvisionedProduct

  • TerminateProvisionedProduct

  • ExecuteProvisionedProductServiceAction

  • CreateProvisionedProductPlan

  • ExecuteProvisionedProductPlan

-sourceArn の保護AWS Service Catalogは、」などのテンプレート化された ARN のみをサポートしますarn:<aws-partition>:servicecatalog:<region>:<accountId>:「特定のリソース ARN はサポートしていません。

起動制約の検証

AWS Service Catalog がロールを使用して製品を起動し、プロビジョニング済み製品を正常に作成することを検証するには、AWS Service Catalog コンソールから製品を起動します。ユーザーに公開する前に制約をテストするには、同じ製品を含むテストポートフォリオを作成し、そのポートフォリオで制約をテストします。

製品を起動するには

  1. AWS Service Catalog コンソールのメニューで、[Service Catalog]、[エンドユーザー] の順に選択します。

  2. 製品を選択して、[製品の詳細] ページを開きます。[起動オプション] テーブルで、ロールの Amazon リソースネーム (ARN) が表示されることを確認します。

  3. [製品の起動] を選択します。

  4. 起動手順を続行して必要な情報を入力します。

  5. 製品が正常に起動することを確認します。