AWS パートナーの IAM 一時委任 - AWS Identity and Access Management
概要:仕組みパートナーの要件オンボーディングプロセスパートナーアンケート

AWS パートナーの IAM 一時委任

概要:

IAM の一時委任を使用すると、AWS の顧客は、インタラクティブなガイド付きワークフローを使って AWS パートナーの製品を自分の AWS 環境にシームレスにオンボードあるいは統合することができます。顧客は、必要とする AWS サービスを設定するときに、制限付きの一時的なアクセス権を AWS パートナーに付与することで、オンボーディングにまつわる問題を取り除き価値実現までに要する時間を短縮することができます。

IAM の一時委任を使えばパートナーは以下のようなことが行えます。

  • リソースのプロビジョニングを自動化して顧客のオンボーディングを簡素化する

  • 手動での設定手順をなくし統合における複雑な要素を取り除く

  • 顧客が承認した透過的なアクセス許可を使用して信頼性を高める

  • アクセス許可の境界を使用して長期的なアクセスパターンにより継続的なオペレーションを実現する

仕組み

  1. パートナーが委任リクエストを作成する – パートナーが、必要なアクセス許可と必要とする期間とを指定したリクエストを作成します。

  2. 顧客が AWS コンソールで確認する – パートナーがリクエストしたアクセス許可とその理由を顧客が確認します。

  3. 顧客が承認する – 顧客がリクエストを承認し、交換トークンをリリースします。トークンはここで指定した SNS トピック上でパートナーに送信されます。

  4. パートナーが一時的な認証情報を受け取る – パートナーがトークンを一時的な AWS 認証情報と交換します。

  5. パートナーがリソースを設定する – パートナーが認証情報を使用して顧客のアカウントに必要なリソースを設定します。

パートナーの要件

一時委任を組み込むには、パートナーは次の要件を満たしている必要があります。

  • ISV Accelerate に登録している – パートナーは ISV Accelerate (ISVA) プログラムに登録している必要があります。

  • AWS Marketplace に出品している – パートナーは製品を AWS Marketplace に出品し「AWS にデプロイ済み」のバッジを付ける必要があります。

オンボーディングプロセス

製品に一時委任を組み込むには、次の手順を行います。

  1. ステップ 1: 要件を確認する

    本ドキュメントを読んで要件を確認し、以下のパートナーアンケートに回答します。

  2. ステップ 2: オンボーディングリクエストを送信する

    aws-iam-partner-onboarding@amazon.com に E メールを送信するか、または AWS の担当者に連絡します。その際、必須項目のすべてを記載した以下のパートナーアンケートの回答を作成し、添付します。

  3. ステップ 3: AWS が確認およびチェックを行う

    AWS の動作:

    • パートナーが要件を満たしていることを確認します

    • ポリシーテンプレートとアクセス許可の境界をチェックします

    • パートナーから届いたアーティファクトにフィードバックを行います

  4. ステップ 4: ポリシーを改良する

    AWS のフィードバックに対処し、必要に応じて最新のポリシーテンプレートまたはアクセス許可の境界を送信します。

  5. ステップ 5: 登録を完了する

    承認されると、AWS が以下を行います。

    • 指定されたアカウントの API アクセスを有効にする

    • ポリシーテンプレートとアクセス許可の境界の ARN を共有する (該当する場合)

    オンボーディングが完了するとお手元に確認メッセージが届きます。届いたら、登録したアカウントから一時委任 API、CreateDelegationRequest と GetDelegatedAccessToken にアクセスすれば、委任リクエストのワークフローを製品に組み込めるようになります。

パートナーアンケート

以下の表は、パートナーのオンボーディングに必要な情報を一覧にしたものです。

情報 説明 必須
パートナーセントラルのアカウント ID AWS パートナーセントラルに登録されている AWS アカウントのアカウント ID。 はい
PartnerId AWS パートナーセントラルから提供されたパートナー ID。 いいえ
AWS Marketplace の製品 ID AWS パートナーセントラルから提供されたパートナー製品の製品 ID。 はい
AWS アカウントの ID 一時委任 API の呼び出しに使用する AWS アカウント ID の一覧。これには本番稼働用と非本番稼働/テスト用の両方のアカウントを含める必要があります。 はい
パートナー名 この名前は、顧客が一時委任リクエストを確認する際に AWS マネジメントコンソールに表示されます。 はい
連絡用メールアドレス サービスの組み込みに関するご連絡に使用可能な 1 件以上の E メールアドレス。 はい
リクエストしたユーザーのドメイン お使いのドメイン (www.example.com など) はい
統合の説明 この機能を使用するユースケースに関する短い説明。参考ドキュメントやその他公開資料へのリンクを含めていただいてもかまいません。 はい
アーキテクチャ図 組み込みの統合ユースケースの図解 (複数可)。 いいえ
ポリシーテンプレート この機能ではポリシーテンプレートを 1 つ以上登録する必要があります。ポリシーテンプレートは、顧客の AWS アカウントでリクエストする一時的な許可を定義するものです。詳細については「ポリシーテンプレート」の項目を参照してください。 はい
ポリシーテンプレート名 登録するポリシーテンプレートの名前。 はい
アクセス許可の境界 一時的な許可を使用して顧客のアカウントに IAM ロールを作成する場合は、アクセス許可の境界を IAM に登録する必要があります。アクセス許可の境界は、ロールに対するアクセス許可の上限を規定するために作成する IAM ロールにアタッチされます。選択した AWS 管理ポリシーをアクセス許可の境界として使用するか、新しいカスタムのアクセス許可の境界 (JSON) を登録することができます。詳細については「アクセス許可の境界」の項目を参照してください。 いいえ
アクセス許可の境界名 アクセス許可の境界の名前です。形式は以下のとおり。arn:aws:iam::partner:policy/permission_boundary/<partner_domain>/<policy_name>_<date>。ポリシー名には作成日をサフィックスとして含める必要があります。この名前は、アクセス許可の境界の作成後は更新できません。既存の AWS 管理ポリシーを使用している場合は、代わりに管理ポリシー ARN を指定します。 いいえ
アクセス許可の境界の説明 アクセス許可の境界に関する説明です。この説明は、アクセス許可の境界の作成後は更新できません。 不可