ポートフォリオの共有 - AWS Service Catalog
ccount-to-account 共有AWS Organizations との共有ポートフォリオを共有する TagOptions 際の共有ポートフォリオを共有する際のプリンシパル名の共有

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ポートフォリオの共有

別のAWSアカウントのAWS Service Catalog管理者が製品をエンドユーザーに配信できるようにするには、共有 または を使用してAWS Service Catalogポートフォリオ account-to-account を共有しますAWS Organizations。

account-to-account 共有または Organizations を使用してポートフォリオを共有する場合、そのポートフォリオのリファレンスを共有します。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。

受信者は、製品または制約を変更することはできませんが、エンドユーザーの (AWS Identity and Access Management) アクセス権を追加できます。

注記

共有リソースを共有することはできません。これには、共有製品を含むポートフォリオが含まれます。

ccount-to-account 共有

これらのステップを完了するには、対象の AWS アカウント ID を取得する必要があります。ID は、対象のアカウントの AWS Management Console の [マイアカウント] ページにあります。

AWS アカウントとポートフォリオを共有するには

  1. Service Catalog コンソール (https://console.aws.amazon.com/servicecatalog/) を開きます。

  2. 左側のナビゲーションメニューで、[ポートフォリオ] を選択し、共有するポートフォリオを選択します。「アクション」メニューで「共有」を選択します。

  3. [アカウント ID を入力] に、共有する AWS アカウントのアカウント ID を入力します。(オプション) TagOption の共有 を選択します。次に、[共有] を選択します。

  4. 対象のアカウントの AWS Service Catalog 管理者に URL を送信します。URL では、共有ポートフォリオの ARN が自動的に提供されて [ポートフォリオのインポート] ページが開きます。

ポートフォリオのインポート

別の AWS アカウントの AWS Service Catalog 管理者がポートフォリオを共有した場合、そのポートフォリオをアカウントにインポートし、その製品をエンドユーザーに配信できるようにします。

ポートフォリオが AWS Organizations を通じて共有されている場合は、ポートフォリオをインポートする必要はありません。

ポートフォリオをインポートするには、管理者からポートフォリオ ID を取得する必要があります。

インポートされたすべてのポートフォリオを表示するには、https://console.aws.amazon.com/servicecatalog/ で AWS Service Catalog コンソールを開きます。「ポートフォリオ」ページで、「インポート済み」タブを選択します。「インポートされたポートフォリオ」テーブルを確認します。

AWS Organizations との共有

AWS Organizations を使用して AWS Service Catalog ポートフォリオを共有できます。

まず、管理アカウントから共有するか、委任管理者アカウントから共有するかを決定する必要があります。管理アカウントから共有しない場合は、委任管理者アカウントを登録し、共有に使用してください。詳細については、AWS CloudFormationユーザーガイド委任された管理者の登録を参照してください。

次に、共有する相手を決定する必要があります。次のエンティティと共有できます。

  • 組織アカウント。

  • 部門単位 (OU)。

  • 組織そのもの。(これは、組織内のすべてのアカウントと共有されます)。

管理アカウントからの共有

組織構造を使用するか、組織ノードの ID を入力するときに、ポートフォリオを組織と共有できます。

組織構造を使用してポートフォリオを組織と共有するには

  1. AWS Service Catalog コンソール (https://console.aws.amazon.com/servicecatalog/) を開きます。

  2. [ポートフォリオ] ページで、共有するポートフォリオを選択します。「アクション」メニューで「共有」を選択します。

  3. AWS Organizations を選択して組織構造に絞り込みます。

    ルートノードを選択して、ポートフォリオを組織全体、親組織単位 (OU)、子 OU、または組織内の AWS アカウントを共有できます。

    親 OU に共有すると、その親 OU 内のすべてのアカウントおよび子 OU にポートフォリオが共有されます。

    [AWS アカウントのみを表示] を選択すると、組織内のすべての AWS アカウントのリストを表示できます。

組織ノードの ID を入力して、ポートフォリオを組織と共有するには

  1. AWS Service Catalog コンソール (https://console.aws.amazon.com/servicecatalog/) を開きます。

  2. [ポートフォリオ] ページで、共有するポートフォリオを選択します。「アクション」メニューで「共有」を選択します。

  3. [組織ノード] を選択します。

    組織全体、OU、または組織内の AWS アカウントと共有するかどうかを選択します。

    選択した組織ノードの ID を入力します。このノードは、AWS Organizations コンソール (https://console.aws.amazon.com/organizations/) で確認できます。

委任管理者アカウントからの共有

組織の管理アカウントは、他のアカウントを組織の委任管理者として登録および登録解除できます。

委任管理者は、管理アカウントと同じ方法で、組織内の AWS Service Catalog リソースを共有できます。ポートフォリオの作成、削除、共有などが許可されます。

委任管理者を登録または登録解除するには、マスターアカウントから API または CLI を使用する必要があります。詳細については、「AWS Organizations API リファレンス」の「RegisterDelegatedAdministrator」および「DeregisterDelegatedAdministrator」を参照してください。

注記

管理者を委任する前に、管理者は、EnableAWSOrganizationsAccess を呼び出す必要があります。

委任管理者アカウントからポートフォリオを共有する手順は、前述の「管理アカウントからの共有」で説明したように、マスターアカウントからの共有と同じです。

メンバーが委任管理者として登録解除されると、次のようになります。

  • そのアカウントから作成されたポートフォリオ共有は削除されます。

  • 新しいポートフォリオ共有を作成することはできません。

注記

委任管理者が登録解除された後に、委任管理者によって作成されたポートフォリオと共有が削除されない場合は、委任管理者を再度登録して登録解除します。このアクションにより、そのアカウントで作成されたポートフォリオと共有が削除されます。

組織内のアカウントの移動

組織内でアカウントを移動すると、そのアカウントと共有されている AWS Service Catalog ポートフォリオが変更される可能性があります。

アカウントは、対象の組織または組織部門と共有されているポートフォリオにのみアクセスできます。

ポートフォリオを共有する TagOptions 際の共有

管理者として、共有を作成して を含めることができます TagOptions。管理者が次の操作を実行できるようにするキーと値のペア TagOptions です。

  • タグの分類を定義し、適用します。

  • タグオプションを定義し、製品やポートフォリオに関連付けます。

  • ポートフォリオおよび製品に関連するタグオプションを他のアカウントと共有します。

メインアカウントでタグオプションを追加または削除すると、変更は自動的に受信者アカウントに表示されます。受信者アカウントでは、エンドユーザーが で製品をプロビジョニングするときに TagOptions、プロビジョニング済み製品のタグとなるタグの値を選択する必要があります。

受信者アカウントでは、管理者はインポートされたポートフォリオ TagOptions に追加のローカル を関連付けて、そのアカウントに固有のタグ付けルールを適用できます。

注記

ポートフォリオを共有するには、消費者の AWS アカウント ID が必要です。コンソールの [マイアカウント] で AWS アカウント ID を検索します。

注記

に単一の値 TagOption がある場合、 はプロビジョニングプロセス中にその値AWSを自動的に適用します。

ポートフォリオを共有する TagOptions ときに共有するには

  1. 左側のナビゲーションメニューから [ポートフォリオ] を選択します。

  2. [ローカルポートフォリオ] で、ポートフォリオを選択し、開きます。

  3. 上部のリストから [共有] を選択し、[共有] ボタンを選択します。

  4. 別の AWS アカウントまたは Amazon の組織と共有することを選択します。

  5. 12 桁のアカウント ID 番号を入力し、[有効化] を選択してから、[共有] を選択します。

    共有したアカウントは、[共有したアカウント] セクションに表示されます。が有効 TagOptions であったかどうかを示します。

ポートフォリオ共有を更新して を含めることもできます TagOptions。ポートフォリオと製品に属するすべての TagOptions がこのアカウントと共有されるようになりました。

ポートフォリオ共有を更新して を含めるには TagOptions

  1. 左側のナビゲーションメニューから [ポートフォリオ] を選択します。

  2. [ローカルポートフォリオ] で、ポートフォリオを選択し、開きます。

  3. 上部のリストから [共有] を選択します。

  4. [共有したアカウント] で、アカウント ID を選択してから、[アクション] を選択します。

  5. [Update unshare] または [Unshare] を選択します。

    共有解除の更新 を選択すると、 を有効にして共有を開始します TagOptions。共有したアカウントは、[共有したアカウント] セクションに表示されます。

    [Unshare] を選択した場合、アカウントを共有する必要がなくなったことを確認します。

ポートフォリオを共有する際のプリンシパル名の共有

管理者は、プリンシパル名を含むポートフォリオ共有を作成できます。プリンシパル名は、管理者がポートフォリオで指定してポートフォリオと共有できるグループ、ロール、ユーザーの名前です。ポートフォリオを共有するときに、AWS Service Catalog は、それらのプリンシパル名がすでに存在するかどうかを確認します。存在する場合は、AWS Service Catalog は、一致する IAM プリンシパルを共有ポートフォリオに自動的に関連付けて、ユーザーにアクセス権を付与します。

注記

プリンシパルをポートフォリオに関連付けると、そのポートフォリオが他のアカウントと共有されたときに、権限昇格の過程が生じる可能性があります。受信者アカウントのユーザーが AWS Service Catalog 管理者ではないものの、プリンシパル (ユーザー/ロール) を作成する権限を持っている場合、そのユーザーはポートフォリオのプリンシパル名の関連付けと一致する IAM プリンシパルを作成できます。このユーザーは、AWS Service Catalog を介してどのプリンシパル名が関連付けられているのかわからない場合がありますが、ユーザーを推測できる場合があります。この潜在的な昇格の過程が懸念される場合は、AWS Service Catalog は PrincipalTypeIAM として使用することをお勧めします。この設定では、PrincipalARN が既に受信者アカウントに存在していなければ関連付けることはできません。

メインアカウントでタグオプションを追加または削除すると、AWS Service Catalog は、これらの変更を受信者のアカウントに自動的に適用します。受信者アカウントのユーザーは、その役割に基づいてタスクを実行できます。

  • エンドユーザー はポートフォリオの製品をプロビジョニング、更新、終了できます。

  • 管理者 は、インポートされたポートフォリオに追加の IAM プリンシパルを関連付けて、そのアカウントに固有のエンドユーザーにアクセス権を付与できます。

注記

プリンシパル名の共有は AWS Organizations でのみ使用できます。

ポートフォリオを共有する際にプリンシパル名を共有するには

  1. 左側のナビゲーションメニューから [ポートフォリオ] を選択します。

  2. ローカルポートフォリオで、共有したいポートフォリオを選択します。

  3. [アクション] メニューで [共有] を選択します。

  4. AWS Organizations 内の組織を選択します。

  5. 組織ルート全体組織ユニット (OU)、または組織メンバーを選択します。

  6. 共有設定で、プリンシパルの共有オプションを有効にします。

また、ポートフォリオ共有を更新して、プリンシパル名の共有を含めることもできます。これにより、そのポートフォリオに属するすべてのプリンシパル名が受信者アカウントと共有されます。

ポートフォリオ共有を更新して、プリンシパル名を有効または無効にするには

  1. 左側のナビゲーションメニューから [ポートフォリオ] を選択します。

  2. ローカルポートフォリオで、更新するポートフォリオを選択します。

  3. [共有] タブを選択します。

  4. 更新する共有を選択し、[共有] を選択します。

  5. [共有を更新] を選択し、[有効化] を選択してプリンシパルの共有を開始します。その後、AWS Service Catalog は受信者アカウントのプリンシパル名を共有します。

受信者アカウントとのプリンシパル名の共有を停止したい場合は、プリンシパル共有を無効にします。

プリンシパル名を共有する場合はワイルドカードを使用する

AWS Service Catalog は、「*」や「?」などのワイルドカードを使用して IAM プリンシパル (ユーザー、グループ、ロール) 名へのポートフォリオアクセスを許可できます。ワイルドカードパターンを使用すると、複数の IAM プリンシパル名を一度に扱うことができます。ARN パスとプリンシパル名には、無制限のワイルドカード文字を使用できます。

許容できるワイルドカード ARN の例:

  • arn:aws:iam:::role/ResourceName_*

  • arn:aws:iam:::role/*/ResourceName_?

許容できないワイルドカード ARN の例:

  • arn:aws:iam:::*/ResourceName

IAM プリンシパル ARN 形式 (arn:partition:iam:::resource-type/resource-path/resource-name) では、有効な値には user/group/、または role/ が含まれます。「?」 「*」と「*」は、resource-id セグメントのリソースタイプの後にのみ使用できます。特殊文字はリソース ID 内のどこでも使用できます。

「*」文字は「/」文字とも一致するため、リソース ID 内 にパスを作成できます。例:

arn:aws:iam:::role/*/ResourceName_?arn:aws:iam:::role/pathA/pathB/ResourceName_1arn:aws:iam:::role/pathA/ResourceName_1 の両方に一致します。