Amplify アプリへのサービスロールの追加 - AWS Amplify ホスティング
サービスロールの作成混乱した使節の問題を防ぐためのロールの信頼ポリシーの編集

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amplify アプリへのサービスロールの追加

Amplify では、フロントエンドでバックエンドリソースをデプロイするためのアクセス許可が必要です。このアクセス許可を付与するには、サービスロールを使用します。サービスロールは、お客様に代わって他のサービスを呼び出すときに Amplify コンソールが引き受けるAWS Identity and Access Management IAM ロールです。

この章では、アカウント管理権限を持ち、Amplify アプリケーションが バックエンドをデプロイ、作成、管理に必要とするリソースへの直接アクセスを明示的に許可する、Amplify サービスロールを作成できるようになります。

サービスロールの作成

サービスロールを作成する

  1. IAM コンソールを開き、左側のナビゲーションバーから [ロール] を選択して、[ロールの作成] を選択します。

  2. [信頼されたエンティティを選択] ページで、[AWS サービス] を選択します。[ユースケース][Amplify] を選択し、[次へ] を選択します。

  3. [アクセス許可を追加] ページで [次へ] を選択します。

  4. [名前、表示、作成] ページで、[ロール名]AmplifyConsoleServiceRole-AmplifyRole などのわかりやすい名前を入力します。

  5. デフォルトをすべて受け入れて [ロールの作成] を選択します。

  6. Amplify コンソールに戻り、ロールをアプリにアタッチします。

    • 新しいアプリをデプロイしている場合は、次の操作を行います:

      1. サービスロールのリストを更新します。

      2. 先ほど作成したロールを選択します。この例については、AmplifyConsoleServiceRole-AmplifyRole のようになります。

      3. [次へ] を選択し、手順に従ってアプリのデプロイを完了します。

    • 既存のアプリがある場合は、次の操作を行います:

      1. ナビゲーションペインで [アプリの設定][全般設定] を選択します。

      2. [全般設定] ページで [編集] を選択します。

      3. [全般設定の編集] ページで、[サービスロール] リストから作成したロールを選択します。

      4. [Save] を選択します。

  7. アプリのバックエンドリソースをデプロイするアクセス許可が Amplify コンソールに付与されました。

混乱した使節の問題を防ぐためのロールの信頼ポリシーの編集

混乱した代理問題とは、アクションを実行する許可を持たないエンティティが、より高い特権を持つエンティティにそのアクションの実行を強制できるというセキュリティ問題です。詳細については、「サービス間の混乱した代理の防止」を参照してください。

現在、Amplify-Backend Deploymentサービスロールのデフォルトの信頼ポリシーでは、代理の混乱を防ぐためにaws:SourceArnaws:SourceAccountのグローバルコンテキスト条件キーが適用されています。ただし、以前にアカウントにAmplify-Backend Deploymentロールを作成したことがある場合は、ロールの信頼ポリシーを更新してこれらの条件を追加することで、代理が混乱するのを防ぐことができます。

次の例を使用して、アカウント内のアプリへのアクセスを制限します。リージョンおよびアプリケーション ID をユーザー自身の情報などに置き換えます。

"Condition": {
      "ArnLike": {
        "aws:SourceArn": "arn:aws:amplify:us-east-1:123456789012:apps/*"
      },
      "StringEquals": {
        "aws:SourceAccount": "123456789012"
      }
    }

AWS Management Consoleを使用してロールの信頼ポリシーを編集する手順については、「IAM ユーザーガイド」の「ロール(コンソール)の変更 」を参照してください。