AWS Service Catalog での Identity and Access Management - AWS Service Catalog

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

AWS Service Catalog での Identity and Access Management

AWS Service Catalog へのアクセスには、認証情報が必要です。これらの認証情報には、AWS Service Catalog ポートフォリオや製品など、AWS リソースにアクセスするための権限が必要です。AWS Service Catalog は、AWS Identity and Access Management (IAM) と統合して、製品の作成および管理のために必要なアクセス権限を AWS Service Catalog 管理者に付与できるようにします。また、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限を AWS Service Catalog エンドユーザーに付与します。これらのポリシーは、AWS によって作成、管理されるか、管理者やエンドユーザーによって個別に作成、管理されます。アクセスを制御するには、IAM ユーザー、グループ、および AWS Service Catalog で使用するロールに、これらのポリシーをアタッチします。

対象者

AWS Identity and Access Management (IAM) を介してお客様に与えられる権限は、AWS Service Catalog でのロールによって異なる場合があります。

管理者 - AWS Service Catalog 管理者には、管理者コンソールへのフルアクセスと、ポートフォリオと製品の作成および管理、制約の管理、エンドユーザーへのアクセスの許可などのタスクを実行できる IAM 権限が必要です。

エンドユーザー - エンドユーザーが製品を使用できるようにするには、AWS Service Catalog エンドユーザーコンソールへのアクセス権を付与する必要があります。また、製品を起動し、プロビジョニング済み製品を管理する権限も付与できます。

IAM 管理者 - IAM 管理者は、AWS Service Catalog へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる AWS Service Catalog アイデンティティベースのポリシーの例を表示するには、「事前定義の AWS 管理ポリシー」を参照してください。

アクセスの制御

AWS Service Catalog ポートフォリオにより、エンドユーザーのグループに対するアクセスコントロールのレベルが管理者に与えられます。ユーザーをポートフォリオに追加すると、ユーザーは、ポートフォリオ内の任意の製品を閲覧および起動できるようになります。詳細については、「ポートフォリオの管理」を参照してください。

制約

制約により、特定のポートフォリオから製品を起動するときにエンドユーザーに適用されるルールが制御されます。制約を使用して、製品に制限を適用し、ガバナンスまたはコスト管理を実現します。制約の詳細については、「AWS Service Catalog の使用の制約」を参照してください。

AWS Service Catalog 起動制約により、エンドユーザーが必要とするアクセス権限をより詳細に制御できます。管理者がポートフォリオ内の製品の起動制約を作成すると、起動制約によって、エンドユーザーがそのポートフォリオから製品を起動するときに使用されるロール ARN が関連付けられます。このパターンを使用して、AWS リソース作成に対するアクセス権限を管理できます。詳細については、「AWS Service Catalog の起動制約」を参照してください。

事前定義の AWS 管理ポリシー

AWS によって作成された管理ポリシーは、一般的ユースケースに必要なアクセス権限を付与します。IAM ユーザーとロールにこれらのポリシーをアタッチできます。詳細については、『IAM ユーザーガイド』の「AWS 管理ポリシー」を参照してください。

AWS Service Catalog に対する AWS 管理ポリシーを次に示します。

Administrators
  • AWSServiceCatalogAdminFullAccess — 管理コンソールビューへのフルアクセス権と、製品とポートフォリオの作成および管理の権限を付与します。

  • AWSServiceCatalogAdminReadOnlyAccess — 管理者コンソールビューへのフルアクセス権を付与します。製品とポートフォリオを作成または管理するためのアクセス権は付与しません。

エンドユーザー
  • AWSServiceCatalogEndUserFullAccess — エンドユーザーコンソールビューへのフルアクセス権を付与します。製品を起動し、プロビジョニング済み製品を管理するアクセス権を付与します。

  • AWSServiceCatalogEndUserReadOnlyAccess — エンドユーザーコンソールビューへの読み取り専用アクセス権を付与します。製品を起動し、プロビジョニング済み製品を管理するアクセス権は付与しません。

IAM ユーザーにポリシーをアタッチするには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users] を選択します。

  3. IAM ユーザーの (チェックボックスではなく) 名前を選択します。

  4. [Permissions] タブで、[Add permissions] を選択します。

  5. [Add permissions] ページで、[Attach existing policies directly] を選択します。

  6. AWS Service Catalog の管理ポリシーの横にあるチェックボックスをオンにし、[次へ: レビュー] を選択します。

  7. [アクセス権限の概要] ページで、[アクセス権限の追加] を選択します。

  8. (オプション) 管理者がプライベート CloudFormation テンプレートを使用する必要がある場合は、Amazon S3 用の追加のアクセス権限を管理者に付与する必要があります。詳細については、Amazon Simple Storage Service 開発者ガイドの「ユーザーポリシーの例」を参照してください。

廃止されたポリシー

次の管理ポリシーは廃止されました。

  • ServiceCatalogAdminFullAccess — 代わりに AWSServiceCatalogAdminFullAccess を使用します。

  • ServiceCatalogAdminReadOnlyAccess — 代わりに AWSServiceCatalogAdminReadOnlyAccess を使用します。

  • ServiceCatalogEndUserFullAccess — 代わりに AWSServiceCatalogEndUserFullAccess を使用します。

  • ServiceCatalogEndUserAccess — 代わりに AWSServiceCatalogEndUserReadOnlyAccess を使用します。

次の手順を使用して、現在のポリシーを使用して管理者とエンドユーザーにアクセス権限を確実に付与します。

廃止されたポリシーから現在のポリシーに移行するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[Policies] を選択します。

  3. 検索フィールドに ServiceCatalog と入力してポリシーリストをフィルタリングします。ServiceCatalogAdminFullAccess の名前 (チェックボックスではありません) を選択します。

  4. アタッチされている各エンティティ (ユーザー、グループ、またはロール) に対して、次の操作を行います。

    1. エンティティの概要ページを開きます。

    2. IAM ユーザーにポリシーをアタッチするには」の手順で説明されているように、いずれかの現在のポリシーを追加します。

    3. ServiceCatalogAdminFullAccess の横にある [アクセス許可] タブで、[ポリシーのデタッチ] を選択します。確認を求められたら、[デタッチ] を選択します。

  5. ServiceCatalogEndUserFullAccess に対してこの処理を繰り返します。

エンドユーザーのコンソールアクセス

AWSServiceCatalogEndUserFullAccess および AWSServiceCatalogEndUserReadOnlyAccess ポリシーにより、AWS Service Catalog エンドユーザーコンソールビューへのアクセス権が付与されます。これらのいずれかのポリシーを持っているユーザーが AWS マネジメントコンソール で [AWS Service Catalog] を選択すると、エンドユーザーコンソールビューに、起動権限を持っている製品が表示されます。

アクセス権限を付与した製品をエンドユーザーが AWS Service Catalog から正常に起動するには、追加の IAM アクセス権限をエンドユーザーに提供することにより、製品の AWS CloudFormation テンプレートの基盤となる各 AWS リソースの使用を許可する必要があります。たとえば、製品テンプレートに Amazon Relational Database Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス権限をユーザーに付与する必要があります。

AWS リソースへの最小アクセス権限を適用しながら、エンドユーザーが製品を起動できるようにする方法については、「AWS Service Catalog の使用の制約」を参照してください。

AWSServiceCatalogEndUserReadOnlyAccess ポリシーを適用すると、ユーザーはエンドユーザーコンソールにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。IAM を使用してエンドユーザーに直接これらのアクセス権限を付与することもできますが、AWS リソースに対するエンドユーザーのアクセス権限を制限する場合は、ポリシーを起動ロールにアタッチします。次に、AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「AWS Service Catalog の起動制約」を参照してください。

注記

AWS Service Catalog 管理者用の IAM アクセス許可をユーザーに付与した場合は、代わりに管理者コンソールビューが表示されます。エンドユーザーが管理者コンソールビューにアクセス可能にする場合を除き、これらのアクセス権限をエンドユーザーに付与しないでください。

エンドユーザー向け製品アクセス

エンドユーザーが、アクセス権限を付与する製品を使用できるようにするには、製品の IAM テンプレートで、基盤となる各 AWS リソースを使用できるようにする追加の AWS CloudFormation アクセス権限を提供する必要があります。たとえば、製品テンプレートに Amazon Relational Database Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス権限をユーザーに付与する必要があります。

ServiceCatalogEndUserAccess ポリシーを適用すると、ユーザーはエンドユーザーコンソールビューにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。IAM でエンドユーザーに直接これらのアクセス権限を付与できますが、エンドユーザーが AWS リソースに対して持つアクセス権限を制限する場合は、ポリシーを起動ロールにアタッチします。次に、AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「AWS Service Catalog の起動制約」を参照してください。