ステップ 6: 起動制約を追加して、IAMロール - AWS Service Catalog

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ステップ 6: 起動制約を追加して、IAMロール

起動制約は、エンドユーザーが製品を起動するときに IAM が引き受ける AWS Service Catalog ロールを指定します。

このステップでは、Linux Desktop 製品に起動制約を追加して、AWS Service Catalog「」を使用できます。AWS製品の一部であるリソースAWS CloudFormationテンプレートを使用します。

-IAM起動の制約として製品に割り当てるロールには、以下を使用するアクセス権限が必要です。

  1. AWS CloudFormation

  2. のサービスAWS CloudFormation製品用にテンプレートを作成します。

  3. Amazon S3 の AWS CloudFormation テンプレートへの読み取りアクセス

この起動制約により、エンドユーザーは製品を起動し、起動後にそれをプロビジョニング済み製品として管理できるようになります。詳細については、「AWS Service Catalog 起動の設定」を参照してください。

起動の制約がない場合、追加のIAMエンドユーザーが Linux Desktop 製品を使用するには、事前にアクセス権限をエンドユーザーに付与します。たとえば、ServiceCatalogEndUserAccess ポリシーにより、IAM エンドユーザーコンソールビューにアクセスするために必要な最小の AWS Service Catalog アクセス権限が付与されます。

起動制約を使用することで、エンドユーザーの IAM アクセス権限を最小に抑えることができます。これは IAM のベストプラクティスです。詳細については、「」を参照してください。最小限の特権を認める。()IAMユーザーガイド

を作成するにはIAMポリシーにアタッチするには、IAMロールをコピーして、起動制約を追加します。

起動の制約を追加するには

  1. を開くIAMコンソールhttps://console.aws.amazon.com/iam

  2. ナビゲーションペインの [] を選択します。ポリシー,ポリシーの作成] で、次の作業を行います。

    1. [ポリシーの作成] ページで、[JSON] タブを選択します。

    2. このポリシー例をコピーし、ポリシードキュメントを使用して、テキストフィールドのプレースホルダJSONを置き換えます。

      { "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudformation:CreateStack", "cloudformation:DeleteStack", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStacks", "cloudformation:GetTemplateSummary", "cloudformation:SetStackPolicy", "cloudformation:ValidateTemplate", "cloudformation:UpdateStack", "ec2:*", "s3:GetObject", "servicecatalog:*", "sns:*" ], "Resource": "*" } ] }
    3. 選択,ポリシーの確認

    4. [Policy Name] に「linuxDesktopPolicy」と入力します。

    5. [Create policy] を選択します。

  3. ナビゲーションペインで [Roles (ロール) ] を選択します。次に [] を選択します。ロールの作成] で、次の作業を行います。

    1. を使用する場合信頼されたエンティティの種類を選択] で、AWSservice[] を選択してから、Service Catalog。[] を選択します。Service Catalogユースケースを選択し、次へ: アクセス許可.

    2. [linuxDesktopPolicy] ポリシーを探し、チェックボックスをオンにします。

    3. [Next: (次へ:)] を選択します タグを選択し、次へ: 確認.

    4. [ロール名] に linuxDesktopLaunchRole を入力します。

    5. [ロールの作成] を選択します。

  4. を開くIAMコンソールhttps://console.aws.amazon.com/servicecatalog

  5. [Engineering Tools] ポートフォリオを選択します。

  6. ポートフェリオの詳細ページで、[制約] タブを選択し、[制約の作成] を選択します。

  7. を使用する場合製品] で、Linuxデスクトップに対し、[Constraint type (制約タイプ)]] で、を起動する

  8. 選択IAM ロールを選択。[次へ] を選択しますlinuxDesktopLaunchRole] で、[] を選択します。作成