ステップ 6: 割り当てる起動制約を追加するIAMロール - AWS Service Catalog

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 6: 割り当てる起動制約を追加するIAMロール

起動制約は、エンドユーザーが製品を起動するときに IAM が引き受ける AWS Service Catalog ロールを指定します。

このステップでは、製品の AWS Service Catalog テンプレートの一部である AWS リソースを AWS CloudFormation が使用できるよう、Linux Desktop 製品に起動制約を追加します。

起動の制約として製品に割り当てる IAM ロールには、以下を使用するアクセス権限が必要です。

  1. AWS CloudFormation

  2. 製品用の AWS CloudFormation テンプレートのサービス。

  3. Amazon S3 の AWS CloudFormation テンプレートへの読み取りアクセス

この起動制約により、エンドユーザーは製品を起動し、起動後にそれをプロビジョニング済み製品として管理できるようになります。詳細については、「AWS Service Catalog 起動の設定」を参照してください。

起動制約がない場合、エンドユーザーが Linux Desktop 製品を使用するには、事前に追加の IAM アクセス権限をエンドユーザーに付与する必要があります。たとえば、ServiceCatalogEndUserAccess ポリシーにより、IAM エンドユーザーコンソールビューにアクセスするために必要な最小の AWS Service Catalog アクセス権限が付与されます。

起動制約を使用することで、エンドユーザーの IAM アクセス権限を最小に抑えることができます。これは IAM のベストプラクティスです。詳細については、IAM ユーザーガイドの「最小特権を付与」を参照してください。

IAM ポリシーを作成するには、それを IAM ロールに添付して、起動の制約を追加します。

起動の制約を追加するには

  1. を開くIAMコンソールhttps://console.aws.amazon.com/iam

  2. ナビゲーションペインで、[ポリシー]、[ポリシーの作成] の順に選択し、次の操作を行います。

    1. [Create policy] (ポリシーの作成) ページで、[JSON] タブを選択します。

    2. 次のポリシーの例をコピーして [ポリシードキュメント] に貼り付け、テキストボックスのプレースホルダー JSON を置き換えます。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "s3:GetObject", "servicecatalog:*", "sns:*" ], "Resource": "*" } ] }
    3. [次へ]、[ポリシーの確認] の順に選択します。

    4. [Policy Name] に「linuxDesktopPolicy」と入力します。

    5. [Create policy] (ポリシーの作成) を選択します。

  3. ナビゲーションペインで [ロール] を選択します。次に、[ロールの作成] を選択して、次の操作を行います。

    1. [信頼するエンティティタイプの選択] で、[AWS のサービス]、[Service Catalog] の順に選択します。[選択]Service Catalogユースケースを選択し、次へ: アクセス許可.

    2. [linuxDesktopPolicy] ポリシーを探し、チェックボックスをオンにします。

    3. [Next: (次へ:)] を選択します タグとなり、次へ: 確認.

    4. [ロール名] に linuxDesktopLaunchRole を入力します。

    5. [Create role] (ロールの作成) を選択します。

  4. AWS Service Catalog コンソール (URL) を開きますhttps://console.aws.amazon.com/servicecatalog

  5. [Engineering Tools] ポートフォリオを選択します。

  6. ポートフォリオの詳細ページで、[制約] タブを選択し、[制約の作成] を選択します。

  7. [製品]で、[Linux Desktop] を選択し、[制約タイプ]で、[起動] を選択します。

  8. [IAM ロールの選択] を選択します。次に、[linuxDesktopLaunchRole]、[作成] の順に選択します。