AWS Proton 同期にロールを使用する - AWS Proton
のサービスにリンクされたロールのアクセス許可 AWS ProtonAWS Protonのサービスリンクロールの作成AWS Protonのサービスにリンクされたロールの編集AWS Protonのサービスリンクロールの削除AWS Proton のサービスリンクロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Proton 同期にロールを使用する

AWS Proton は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプのIAMロールです AWS Proton。サービスにリンクされたロールは によって事前定義 AWS Proton されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Proton が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Proton を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Proton ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、 AWS Proton リソースにアクセスするためのアクセス許可を誤って削除することがないため、リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、「 AWS と連携する のサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。 サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

のサービスにリンクされたロールのアクセス許可 AWS Proton

AWS Proton は、 AWSServiceRoleForProtonSyncおよび という名前のサービスにリンクされた 2 つのロールを使用しますAWSServiceRoleForProtonServiceSync

AWSServiceRoleForProtonSync サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • sync.proton.amazonaws.com

という名前のロールアクセス許可ポリシー AWSProtonSyncServiceRolePolicy は AWS Proton 、 が指定されたリソースに対して次のアクションを実行できるようにします。

  • アクション:AWS Proton テンプレートとテンプレートバージョン作成、管理、読み取り

  • アクション: CodeConnections接続を使用

このポリシーには、以下の権限が含まれています。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "SyncToProton",
            "Effect": "Allow",
            "Action": [
                "proton:UpdateServiceTemplateVersion",
                "proton:UpdateServiceTemplate",
                "proton:UpdateEnvironmentTemplateVersion",
                "proton:UpdateEnvironmentTemplate",
                "proton:GetServiceTemplateVersion",
                "proton:GetServiceTemplate",
                "proton:GetEnvironmentTemplateVersion",
                "proton:GetEnvironmentTemplate",
                "proton:DeleteServiceTemplateVersion",
                "proton:DeleteEnvironmentTemplateVersion",
                "proton:CreateServiceTemplateVersion",
                "proton:CreateServiceTemplate",
                "proton:CreateEnvironmentTemplateVersion",
                "proton:CreateEnvironmentTemplate",
                "proton:ListEnvironmentTemplateVersions",
                "proton:ListServiceTemplateVersions",
                "proton:CreateEnvironmentTemplateMajorVersion",
                "proton:CreateServiceTemplateMajorVersion"
            ],
            "Resource": "*"
        },
        {
            "Sid": "AccessGitRepos",
            "Effect": "Allow",
            "Action": [
                "codestar-connections:UseConnection", 
                "codeconnections:UseConnection"
             ],
            "Resource": [
                "arn:aws:codestar-connections:*:*:connection/*",
                "arn:aws:codeconnections:*:*:connection/*"
            ]
        }
    ]
}

の詳細については AWSProtonSyncServiceRolePolicy、「 AWS 管理ポリシー: AWSProtonSyncServiceRolePolicy」を参照してください。

AWSServiceRoleForProtonServiceSync サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • service-sync.proton.amazonaws.com

という名前のロールアクセス許可ポリシー AWSServiceRoleForProtonServiceSync は AWS Proton 、 が指定されたリソースに対して次のアクションを実行できるようにします。

  • アクション: AWS Proton サービスおよびサービスインスタンスの作成、管理、読み取り

このポリシーには、以下の権限が含まれています。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "ProtonServiceSync",
			"Effect": "Allow",
			"Action": [
				"proton:GetService",
				"proton:UpdateService",
				"proton:UpdateServicePipeline",
				"proton:CreateServiceInstance",
				"proton:GetServiceInstance",
				"proton:UpdateServiceInstance",
				"proton:ListServiceInstances",
				"proton:GetComponent",
				"proton:CreateComponent",
				"proton:ListComponents",
				"proton:UpdateComponent",
				"proton:GetEnvironment",
				"proton:CreateEnvironment",
				"proton:ListEnvironments",
				"proton:UpdateEnvironment"
			],
			"Resource": "*"
		}
	]
}

の詳細については AwsProtonServiceSyncServiceRolePolicy、「 AWS 管理ポリシー: AwsProtonServiceSyncServiceRolePolicy」を参照してください。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。

AWS Protonのサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。、、または AWS Proton で同期するようにリポジトリまたはサービスを設定する AWS Management Consoleと AWS CLI、 AWS API AWS Proton によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。で同期するようにリポジトリまたはサービスを設定すると AWS Proton、 によってサービスにリンクされたロールが再度 AWS Proton 作成されます。

AWSServiceRoleForProtonSync サービスにリンクされたロールを再作成するには、同期用にリポジトリを設定し、 を再作成するには AWSServiceRoleForProtonServiceSync、同期用にサービスを設定します。

AWS Protonのサービスにリンクされたロールの編集

AWS Proton では、 AWSServiceRoleForProtonSync サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS Protonのサービスリンクロールの削除

AWSServiceRoleForProtonSync ロールを手動で削除する必要はありません。 AWS Management Console、、または でリポジトリ同期用の AWS Proton リンクされたリポジトリをすべて削除すると AWS CLI、 はリソースをクリーンアップし AWS API、 AWS Proton サービスにリンクされたロールを削除します。

AWS Proton のサービスリンクロールをサポートするリージョン

AWS Proton は、サービス AWS リージョン が利用可能なすべての でサービスにリンクされたロールの使用をサポートします。詳細については、「AWS 全般のリファレンス」の「AWS Proton エンドポイントとクォータ」を参照してください。