AWS Service Catalog の Identity and Access Management - AWS Service Catalog

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Service Catalog の Identity and Access Management

AWS Service Catalog へのアクセスには、認証情報が必要です。これらの認証情報には、AWS Service Catalog ポートフォリオや製品など、AWS リソースにアクセスするための権限が必要です。AWS Service Catalog は、AWS Identity and Access Management (IAM) と統合して、製品の作成および管理のために必要なアクセス権限を AWS Service Catalog 管理者に付与できるようにします。また、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限をAWS Service Catalog エンドユーザーに付与します。これらのポリシーは、AWS によって作成、管理されるか、管理者やエンドユーザーによって個別に作成、管理されます。アクセスを制御するには、IAM ユーザー、グループ、および AWS Service Catalog で使用するロールに、これらのポリシーをアタッチします。

対象者

AWS Identity and Access Management (IAM) を介してお客様に与えられる権限は、AWS Service Catalog でのロールによって異なる場合があります。

AWS Identity and Access Management (IAM) を介してお客様に与えられる権限は、AWS Service Catalog でのロールによって異なる場合があります。

管理者 - AWS Service Catalog 管理者には、管理者コンソールへのフルアクセスと、ポートフォリオと製品の作成および管理、制約の管理、エンドユーザーへのアクセスの許可などのタスクを実行できる IAM 権限が必要です。

エンドユーザー - エンドユーザーが製品を使用できるようにするには、AWS Service Catalog エンドユーザーコンソールへのアクセス権を付与する必要があります。また、製品を起動し、プロビジョニング済み製品を管理する権限も付与できます。

IAM 管理者 - 管理者は、AWS Service Catalog へのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる AWS Service Catalog アイデンティティベースのポリシーの例を表示するには、事前定義の AWS 管理ポリシー を参照してください。

事前定義の AWS 管理ポリシー

AWS によって作成されたマネージドポリシーは、一般的ユースケースに必要なアクセス権限を付与します。IAM ユーザーとロールにこれらのポリシーをアタッチできます。詳細については、IAM ユーザーガイドの「AWS マネージドポリシー」を参照してください。

AWS Service Catalog に対する AWS 管理ポリシーを次に示します。

Administrators
  • AWSServiceCatalogAdminFullAccess — 管理コンソールビューへのフルアクセス権と、製品とポートフォリオの作成および管理の権限を付与します。

  • AWSServiceCatalogAdminReadOnlyAccess — 管理者コンソールビューへのフルアクセス権を付与します。製品とポートフォリオを作成または管理するためのアクセス権は付与しません。

エンドユーザー
  • AWSServiceCatalogEndUserFullAccess — エンドユーザーコンソールビューへのフルアクセス権を付与します。製品を起動し、プロビジョニング済み製品を管理するアクセス権を付与します。

  • AWSServiceCatalogEndUserReadOnlyAccess - エンドユーザーコンソールビューへの読み取り専用アクセス権を付与します。製品を起動し、プロビジョニング済み製品を管理するアクセス権は付与しません。

IAM ユーザーにポリシーをアタッチするには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Users] (ユーザー) を選択します。

  3. IAM ユーザーの (チェックボックスではなく) 名前を選択します。

  4. [Permissions] タブで、[Add permissions] を選択します。

  5. [Add permissions] ページで、[Attach existing policies directly] を選択します。

  6. の管理ポリシーの横にあるチェックボックスをオンにします。AWS Service Catalog[] を選択してから、次へ: 確認.

  7. [アクセス権限の概要] ページで、[アクセス権限の追加] を選択します。

  8. (オプション) 管理者がプライベートを使用する必要がある場合は、Amazon S3 用の追加のアクセス権限を管理者に付与する必要があります。 CloudFormation テンプレート。詳細については、Amazon Simple Storage Service ユーザーガイドの「ユーザーポリシーの例」を参照してください。

非推奨ポリシー

次の管理ポリシーは廃止されました。

  • ServiceCatalogAdminFullAccess — 代わりに AWSServiceCatalogAdminFullAccess を使用します。

  • ServiceCatalogAdminReadOnlyAccess — 代わりに AWSServiceCatalogAdminReadOnlyAccess を使用します。

  • ServiceCatalogEndUserFullAccess — 代わりに AWSServiceCatalogEndUserFullAccess を使用します。

  • ServiceCatalogEndUserAccess — 代わりに AWSServiceCatalogEndUserReadOnlyAccess を使用します。

次の手順を使用して、現在のポリシーを使用して管理者とエンドユーザーにアクセス権限を確実に付与します。

廃止されたポリシーから現在のポリシーに移行するには

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで、[ポリシー] を選択します。

  3. 検索フィールドに ServiceCatalog と入力してポリシーリストをフィルタリングします。ServiceCatalogAdminFullAccess の名前 (チェックボックスではありません) を選択します。

  4. アタッチされている各エンティティ (ユーザー、グループ、またはロール) に対して、次の操作を行います。

    1. エンティティの概要ページを開きます。

    2. 「linkend= "attach-managed-Policy」の手順で説明されている現在のポリシーのいずれかを追加します。

      「 の手順: IAM ユーザーにポリシーをアタッチするには」の手順で説明されている現在のポリシーのいずれかを追加します。

      IAM ユーザーにポリシーをアタッチするには」の手順で説明されている現在のポリシーのいずれかを追加します。

    3. ServiceCatalogAdminFullAccess の横にある [アクセス許可] タブで、[ポリシーのデタッチ] を選択します。確認を求められたら、[デタッチ] を選択します。

  5. ServiceCatalogEndUserFullAccess に対してこの処理を繰り返します。

AWS Service Catalog のアイデンティティベースのポリシーの例

エンドユーザーのコンソールアクセス

AWSServiceCatalogEndUserFullAccess および AWSServiceCatalogEndUserReadOnlyAccess ポリシーは、AWS Service Catalog エンドユーザーコンソールビューへのアクセス権を付与します。これらのいずれかのポリシーを持っているユーザーが AWS Management Console で [AWS Service Catalog] を選択すると、エンドユーザーコンソールビューに、起動権限を持っている製品が表示されます。

アクセス権限を付与した製品をエンドユーザーが AWS Service Catalog から正常に起動するには、追加の IAM アクセス権限をエンドユーザーに提供することにより、製品の AWS CloudFormation テンプレートの基盤となる各 AWS リソースの使用を許可する必要があります。例えば、製品テンプレートに Amazon Relational Database Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス許可をユーザーに付与する必要があります。

AWS リソースへの最小アクセス権限を適用しながら、エンドユーザーが製品を起動できるようにする方法については、「AWS Service Catalog の使用の制約」を参照してください。

AWSServiceCatalogEndUserReadOnlyAccess ポリシーを適用すると、ユーザーはエンドユーザーコンソールにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。IAM を使用してエンドユーザーに直接これらのアクセス権限を付与することもできますが、AWS リソースに対するエンドユーザーのアクセス権限を制限する場合は、ポリシーを起動ロールにアタッチします。次に、AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「AWS Service Catalog の起動制約」を参照してください。

注記

AWS Service Catalog 管理者用の IAM アクセス許可をユーザーに付与した場合は、代わりに管理者コンソールビューが表示されます。エンドユーザーが管理者コンソールビューにアクセス可能にする場合を除き、これらのアクセス権限をエンドユーザーに付与しないでください。

エンドユーザー向け製品アクセス

エンドユーザーが、アクセス権限を付与する製品を使用できるようにするには、製品の AWS CloudFormation テンプレートで、基盤となる各 AWS リソースを使用できるようにする追加の IAM アクセス権限を提供する必要があります。例えば、製品テンプレートに Amazon Relational Database Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス許可をユーザーに付与する必要があります。

ServiceCatalogEndUserAccess ポリシーを適用すると、ユーザーはエンドユーザーコンソールビューにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。IAM でエンドユーザーに直接これらのアクセス権限を付与できますが、エンドユーザーが AWS リソースに対して持つアクセス権限を制限する場合は、ポリシーを起動ロールにアタッチします。次に、AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「AWS Service Catalog の起動制約」を参照してください。

プロビジョニング済み製品を管理するためのポリシーの例

カスタムポリシーを作成して所属組織のセキュリティ要件を満たすことができます。以下では、ユーザーレベル、ロールレベル、アカウントレベルをサポートするアクションごとにアクセスレベルをカスタマイズする方法の例を示します。各自のロールまたは各自がログインしているアカウントで作成したプロビジョニング済み製品を表示、更新、終了、管理するためのアクセス権を付与できます。ユーザー自身が作成したもののみを操作することも、他のユーザーが作成したものも含めて操作することもできます。このアクセス権は階層状に順次適用されます。アカウントレベルのアクセスを付与すると、ロールレベルとユーザーレベルのアクセスも付与されます。ロールレベルのアクセスを付与すると、ユーザーレベルのアクセスも付与されますが、アカウントレベルのアクセスは付与されません。これらのアクセス権は、Condition ブロックを accountLevelroleLevel、または userLevel として使用して、ポリシー JSON で指定できます。

これらの例は、AWS Service Catalog API 書き込みオペレーション、 UpdateProvisionedProductTerminateProvisionedProduct、および読み取りオペレーション、 DescribeRecordScanProvisionedProductsListRecordHistory のアクセスレベルにも適用されます。ScanProvisionedProducts および ListRecordHistory API オペレーションは AccessLevelFilterKey という入力を使用し、このキーの値は上で説明した Condition ブロックレベルに対応します (accountLevel は「アカウント」の AccessLevelFilterKey 値、roleLevel は「ロール」、userLevel は「ユーザー」に相当します)。詳細については、「AWS Service Catalog デベロッパーガイド」を参照してください。

例: プロビジョニング済み製品に対する完全な管理アクセス

次のポリシーでは、アカウントレベルで、カタログ内のプロビジョニング済み製品およびレコードに対する読み取りと書き込みのフルアクセスを許可します。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }

このポリシーは、次のポリシーと機能的に同じものです。

{ "Version":"2012-10-17", "Statement":[ { "Effect":"Allow", "Action":[ "servicecatalog:*" ], "Resource":"*" } ] }

つまり、Condition のどのポリシーにも AWS Service Catalog ブロックを指定しないと、"servicecatalog:accountLevel" のアクセスを指定した場合と同じに扱われます。accountLevel のアクセスには、roleLeveluserLevel のアクセスが含まれることに注意してください。

例: プロビジョニング済み製品へのエンドユーザーアクセス

次のポリシーでは、読み取りと書き込みのオペレーションへのアクセスを、現在のユーザーが作成したプロビジョニング済み製品または関連するレコードにのみ制限します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:DescribeRecord", "servicecatalog:ListLaunchPaths", "servicecatalog:ListRecordHistory", "servicecatalog:ProvisionProduct", "servicecatalog:ScanProvisionedProducts", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }

例: プロビジョニング済み製品に対する部分的な管理アクセス

次の 2 つのポリシーでは、両方が同じユーザーに適用された場合、読み取り専用のフルアクセスと書き込みの制限付きアクセスを提供することで、一種の「部分的な管理アクセス」を許可します。つまり、ユーザーはカタログのアカウント内にあるプロビジョニング済み製品または関連するレコードを表示することはできますが、そのユーザーが所有しないプロビジョニング済み製品やレコードに対しては一切の操作を実行できません。

最初のポリシーでは、ユーザーに許可されるアクセスは、現在のユーザーが作成したプロビジョニング済み製品に対する書き込みオペレーションのみとなり、他のユーザーが作成したプロビジョニング済み製品は対象外になります。2 番目のポリシーでは、すべて (ユーザー、ロール、またはアカウント) が作成したプロビジョニング済み製品に対する読み込みオペレーションへのフルアクセスを追加します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeProduct", "servicecatalog:DescribeProductView", "servicecatalog:DescribeProvisioningParameters", "servicecatalog:ListLaunchPaths", "servicecatalog:ProvisionProduct", "servicecatalog:SearchProducts", "servicecatalog:TerminateProvisionedProduct", "servicecatalog:UpdateProvisionedProduct" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:userLevel": "self" } } } ] }
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "servicecatalog:DescribeRecord", "servicecatalog:ListRecordHistory", "servicecatalog:ScanProvisionedProducts" ], "Resource": "*", "Condition": { "StringEquals": { "servicecatalog:accountLevel": "self" } } } ] }

AWS Service Catalog Identity and Access のトラブルシューティング

次の情報は、AWS Service Catalog と AWS Identity and Access Management の使用に伴って発生する可能性がある一般的な問題の診断や修復に役立ちます。

AWS Service Catalog でアクションを実行する権限がない

AWS マネジメントコンソールから、アクションを実行する権限がないと通知された場合、管理者に問い合わせ、サポートを依頼する必要があります。ユーザー名とパスワードは、その管理者から提供されたものです。以下の例のエラーは、mateojackson IAM ユーザーがコンソールを使用して、架空のものの詳細を表示しようとすると発生します。 my-example-widget リソースですが、架空の Awese: GetWidget 権限がありません。

User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: awes:GetWidget on resource: my-example-widget

この場合、マテオは、ポリシーの更新を管理者に依頼し、 my-example-widget Awese: GetWidget アクションを使用したリソース。

iam:PassRole を実行する認可がありません

iam:PassRole アクションを実行する権限がないというエラーが表示された場合、管理者に問い合わせ、サポートを依頼する必要があります。管理者とは、ユーザーにユーザー名とパスワードを提供した人です。AWS Service Catalog にロールを渡すことができるようにポリシーを更新するよう、管理者に依頼します。

一部の AWS のサービスでは、新しいサービスロールまたはサービスにリンクされたロールを作成せずに、既存のロールをサービスに渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。

以下の例のエラーは、marymajor という IAM ユーザーがコンソールを使用して AWS Service Catalog でアクションを実行しようする場合に発生します。ただし、このアクションでは、サービスにサービスロールによって付与されたアクセス許可が必要です。Mary には、ロールをサービスに渡すアクセス許可がありません。

User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole

この場合、メアリーは担当の管理者に iam:PassRole アクションを実行できるようにポリシーの更新を依頼します。

アクセスキーを表示したいと考えています

IAM ユーザーアクセスキーを作成した後は、いつでもアクセスキー ID を表示できます。ただし、シークレットアクセスキーの再表示はできません。シークレットキーを紛失した場合は、新しいアクセスキーペアを作成する必要があります。

アクセスキーには、アクセスキー ID (例えば、AKIAIOSFODNN7EXAMPLE) とシークレットアクセスキー (例えば、wJalrXUtnFEMI/K7MDENG/bPxRfiCYEXAMPLEKEY) の 2 つのパートがあります。

ユーザー名とパスワードと同様に、リクエストを認証するために、アクセスキー ID とシークレットアクセスキーの両方を使用する必要があります。ユーザー名とパスワードと同様に、アクセスキーを安全に管理してください。

AWS 全般リファレンスガイド」の 正規ユーザー ID を確認するためであっても、アクセスキーをサードパーティーに提供しないでください。これを行うことにより、誰かにあなたのアカウントへの永続的なアクセスを与えることができます。

アクセスキーペアを作成する場合、アクセスキー ID とシークレットアクセスキーを安全な場所に保存するように求めるプロンプトが表示されます。このシークレットアクセスキーは、作成時にのみ使用できます。シークレットアクセスキーを紛失した場合、新しいアクセスキーを IAM ユーザーに追加する必要があります。最大 2 つのアクセスキーを持つことができます。既に 2 つある場合は、新しいキーペアを作成する前に、いずれかを削除する必要があります。手順を表示するには、「IAM ユーザーガイド」の「アクセスキーの管理」を参照してください。

管理者として AWS Service Catalog へのアクセスを他のユーザーに許可する

AWS Service Catalog へのアクセスを他のユーザーに許可するには、アクセスを必要とする人またはアプリケーションの IAM エンティティ (ユーザーまたはロール) を作成する必要があります。ユーザーは、このエンティティの認証情報を使用して AWS にアクセスします。次に、AWS Service Catalog の適切なアクセス許可を付与するポリシーを、そのエンティティにアタッチする必要があります

すぐにスタートするには、「IAM ユーザーガイド」の「IAM が委任した初期のユーザーおよびグループの作成」を参照してください。

AWS アカウント以外のユーザーに AWS Service Catalog リソースへのアクセスを許可したい

他のアカウントのユーザーや組織外のユーザーが、リソースへのアクセスに使用できるロールを作成できます。ロールを引き受けるように信頼できるユーザーを指定することができます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。

詳細については、以下を参照してください。

アクセスの制御

AWS Service Catalog ポートフォリオにより、エンドユーザーのグループに対するアクセスコントロールのレベルが管理者に与えられます。ユーザーをポートフォリオに追加すると、ユーザーは、ポートフォリオ内の任意の製品を閲覧および起動できるようになります。詳細については、「ポートフォリオの管理」を参照してください。

制約

制約により、特定のポートフォリオから製品を起動するときにエンドユーザーに適用されるルールが制御されます。制約を使用して、製品に制限を適用し、ガバナンスまたはコスト管理を実現します。制約の詳細については、「AWS Service Catalog の使用の制約」を参照してください。

AWS Service Catalog 起動制約により、エンドユーザーが必要とするアクセス権限をより詳細に制御できます。管理者がポートフォリオ内の製品の起動制約を作成すると、起動制約によって、エンドユーザーがそのポートフォリオから製品を起動するときに使用されるロール ARN が関連付けられます。このパターンを使用して、AWS リソース作成に対するアクセス権限を管理できます。詳細については、「AWS Service Catalog の起動制約」を参照してください。

AWS Service Catalog AppRegistry のサービスにリンクされたロールの使用

このセクションでは、AWS Service Catalog について説明します。 AppRegistry では、サービスにリンクされたロールを使用します。AWSServiceCatalogAppRegistryServiceRolePolicyでは、アカウント内の AWS Resource Groups を作成、更新、削除することができます。AWS Resource Groups は、CloudFormation スタック全体でアプリケーション内のすべてのリソースの可視性と運用をお客様に提供します。

AppRegistry は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用します。サービスにリンクされたロールは、AppRegistry に直接リンクされた一意のタイプの IAM ロールです AppRegistry は、サービスにリンクされたロールを事前定義し、そのサービスがユーザーに代わって他の AWS のサービスを呼び出すために必要なすべてのアクセス権限を付与します。

は、サービスにリンクされたロールによって設定されます AppRegistry 必要なアクセス許可を手動で追加する必要がなくなるため、簡単になります。 AppRegistry は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、のみを定義します。 AppRegistry は、そのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他の IAM エンティティに添付することはできません。

サービスにリンクされたロールは、最初に関連リソースを削除した後でのみ削除できます。このアクションは、 AppRegistry リソースは、不注意でリソースにアクセスするアクセス許可を削除することはできないためです。

注記

AppReGistry は、リソースグループ、EnableAWSServiceCatalogAppRegistrytrue に新しいタグを作成します。

このタグは変更しないでください。このタグを変更すると、 AppRegsitry アプリケーションおよび関連するスタック用に作成されたサービスにリンクされたリソースグループを管理するためのアクセス許可の喪失。

AWS Service Catalog AppRegistry のサービスにリンクされたロール許可の使用

AppRegistry は、AWSServiceRoleForAWSServiceCatalogAppRegistry という名前のサービスにリンクされたロールを使用して、AppRegistry がユーザーに代わって IAM API を呼び出します。

AWSServiceRoleForServiceCatalogAppRegistry サービスにリンクされたロールは、ロールを継承するために servicecatalog-appregistry.amazonaws.coms サービスプリンシパルを信頼します。

ロールのアクセス許可ポリシーは、に許可します AppRegistry をクリックして、指定したリソースに対して以下のアクションを実行します。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "cloudformation:DescribeStacks", "Resource": "*" }, { "Effect": "Allow", "Action": [ "resource-groups:CreateGroup", "resource-groups:Tag" ], "Resource": "*", "Condition": { "StringEquals": { "aws:RequestTag/EnableAWSServiceCatalogAppRegistry": "true" } } }, { "Effect": "Allow", "Action": [ "resource-groups:DeleteGroup", "resource-groups:UpdateGroup", "resource-groups:GetGroup", "resource-groups:GetTags", "resource-groups:Tag", "resource-groups:Untag" ], "Resource": "*", "Condition": { "StringEquals": { "aws:ResourceTag/EnableAWSServiceCatalogAppRegistry": "true" } } } ] }

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするためのアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。

AWSServiceRoleForServiceCatalogAppRegistry サービスにリンクされたロールの作成を IAM エンティティに許可するには、サービスリンクされたロールを作成する必要がある IAM エンティティの許可ポリシーにこのステートメントを追加します。

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "arn:aws:iam::*:role/aws-service-role/servicecatalog-appregistry.amazonaws.com/AWSServiceRoleForServiceCatalogAppRegistry*", "Condition": {"StringLike": {"iam:AWSServiceName": "servicecatalog-appregistry.amazonaws.com"}} }

AWS Service Catalog AppRegistry のサービスにリンクされたロールの作成

お客様が特定の操作を要求すると、AWS のサービスは自動的にロールを作成します。AWS マネジメントコンソール、AWS CLI、または AWS API でアプリケーションを作成する、または既存のアプリケーションを更新すると、 AppRegistry では、サービスにリンクされたロールを作成します。

重要

このサービスリンクロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。

このサービスにリンクされたロールを削除してから再度作成する必要がある場合は、同じプロセスを使用してアカウントにロールを再作成できます。アプリケーションを作成する、または既存のアプリケーションを更新すると、 AppRegistry では、サービスにリンクされたロールを再作成します。詳細については、「AWS Service Catalog AppRegistry のサービスにリンクされたロールの削除」を参照してください。

AWSServiceRoleForAWSServiceCatalogAppRegistry ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用します。AWS CLI または AWS API で、サービスにリンクされたロールをサービス名 servicecatalog-appregistry.amazonaws.com として作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除する場合、この同じプロセスを使用して、もう一度ロールを作成できます。

AWS Service Catalog AppRegistry のサービスにリンクされたロールの編集

サービスにリンクされたロールを作成した後は、さまざまなエンティティがロールを参照する可能性があるため、ロールの名前を変更することはできません。ただし、サービスにリンクされたロールの説明は、IAM コンソール、CLI、API で編集できます。

詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS Service Catalog AppRegistry のサービスにリンクされたロールの削除

サービスにリンクされたロールを必要とする機能またはサービスを使用する必要がなくなった場合は、そのロールを削除することをお勧めします。そうすれば、アクティブにモニタリングまたは保守されていない未使用のエンティティがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

次を使用できます。 AppRegistry をクリックして、IAM コンソール、CLI、または API を使用して削除を実行します。

手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップするには、まずアプリケーションからすべてのリソースの関連付けを解除する必要があります。次に、すべての属性グループのフォームアプリケーションの関連付けを解除します。その後、アプリケーションを削除できます。

AWS Service Catalog でサポートされているリージョン AppRegistry のサービスにリンクされたロール

AppRegistry では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、AWS 全般リファレンスガイドAWS リージョンとエンドポイントを参照してください。