翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# セットアップ AWS AppConfig
まだサインアップしていない場合は、 にサインアップ AWS アカウント して管理ユーザーを作成します。
## にサインアップする AWS アカウント
がない場合は AWS アカウント、次の手順を実行して作成します。
**にサインアップするには AWS アカウント**
1. [https://portal.aws.amazon.com/billing/signup](https://portal.aws.amazon.com/billing/signup) を開きます。
1. オンラインの手順に従います。
サインアップ手順の一環として、電話またはテキストメッセージを受け取り、電話キーパッドで検証コードを入力します。
にサインアップすると AWS アカウント、 *AWS アカウントのルートユーザー* が作成されます。ルートユーザーには、アカウントのすべての AWS のサービス とリソースへのアクセス権があります。セキュリティベストプラクティスとして、ユーザーに管理アクセス権を割り当て、[ルートユーザーアクセスが必要なタスク](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_root-user.html#root-user-tasks)の実行にはルートユーザーのみを使用するようにしてください。
AWS サインアッププロセスが完了すると、 から確認メールが送信されます。[https://aws.amazon.com/](https://aws.amazon.com/) の **[マイアカウント]** をクリックして、いつでもアカウントの現在のアクティビティを表示し、アカウントを管理することができます。
## 管理アクセスを持つユーザーを作成する
にサインアップしたら AWS アカウント、日常的なタスクにルートユーザーを使用しないように AWS アカウントのルートユーザー、 を保護し AWS IAM アイデンティティセンター、 を有効にして管理ユーザーを作成します。
**を保護する AWS アカウントのルートユーザー**
1. **ルートユーザー**を選択し、 AWS アカウント E メールアドレスを入力して、アカウント所有者[AWS マネジメントコンソール](https://console.aws.amazon.com/)として にサインインします。次のページでパスワードを入力します。
ルートユーザーを使用してサインインする方法については、「*AWS サインイン ユーザーガイド*」の「[ルートユーザーとしてサインインする](https://docs.aws.amazon.com/signin/latest/userguide/console-sign-in-tutorials.html#introduction-to-root-user-sign-in-tutorial)」を参照してください。
1. ルートユーザーの多要素認証 (MFA) を有効にします。
手順については、*IAM* [ユーザーガイドの AWS アカウント 「ルートユーザー (コンソール) の仮想 MFA デバイス](https://docs.aws.amazon.com/IAM/latest/UserGuide/enable-virt-mfa-for-root.html)を有効にする」を参照してください。
**管理アクセスを持つユーザーを作成する**
1. IAM アイデンティティセンターを有効にします。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[AWS IAM アイデンティティセンターの有効化](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-set-up-for-idc.html)」を参照してください。
1. IAM アイデンティティセンターで、ユーザーに管理アクセスを付与します。
を ID ソース IAM アイデンティティセンターディレクトリ として使用する方法のチュートリアルについては、*AWS IAM アイデンティティセンター 「 ユーザーガイド*」の[「デフォルトを使用してユーザーアクセスを設定する IAM アイデンティティセンターディレクトリ](https://docs.aws.amazon.com//singlesignon/latest/userguide/quick-start-default-idc.html)」を参照してください。
**管理アクセス権を持つユーザーとしてサインインする**
+ IAM アイデンティティセンターのユーザーとしてサインインするには、IAM アイデンティティセンターのユーザーの作成時に E メールアドレスに送信されたサインイン URL を使用します。
IAM Identity Center ユーザーを使用してサインインする方法については、*AWS サインイン 「 ユーザーガイド*[」の AWS 「 アクセスポータルにサインイン](https://docs.aws.amazon.com/signin/latest/userguide/iam-id-center-sign-in-tutorial.html)する」を参照してください。
**追加のユーザーにアクセス権を割り当てる**
1. IAM アイデンティティセンターで、最小特権のアクセス許可を適用するというベストプラクティスに従ったアクセス許可セットを作成します。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[アクセス許可セットを作成する](https://docs.aws.amazon.com//singlesignon/latest/userguide/get-started-create-a-permission-set.html)」を参照してください。
1. グループにユーザーを割り当て、そのグループにシングルサインオンアクセス権を割り当てます。
手順については、「*AWS IAM アイデンティティセンター ユーザーガイド*」の「[グループを追加する](https://docs.aws.amazon.com//singlesignon/latest/userguide/addgroups.html)」を参照してください。
## プログラム的なアクセス権を付与する
ユーザーが の AWS 外部で を操作する場合は、プログラムによるアクセスが必要です AWS マネジメントコンソール。プログラムによるアクセスを許可する方法は、 がアクセスするユーザーのタイプによって異なります AWS。
ユーザーにプログラムによるアクセス権を付与するには、以下のいずれかのオプションを選択します。
****
| プログラムによるアクセス権を必要とするユーザー | 目的 | 方法 |
| --- | --- | --- |
| IAM | (推奨) コンソール認証情報を一時的な認証情報として使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/appconfig/latest/userguide/setting-up-appconfig.html) |
| ワークフォースアイデンティティ
(IAM アイデンティティセンターで管理されているユーザー) | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/appconfig/latest/userguide/setting-up-appconfig.html) |
| IAM | 一時的な認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 「IAM [ユーザーガイド」の「 AWS リソースでの一時的な認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_use-resources.html)の使用」の手順に従います。 |
| IAM | (非推奨)長期認証情報を使用して AWS CLI、、 AWS SDKs、または AWS APIs。 | 使用するインターフェイスの指示に従ってください。[See the AWS documentation website for more details](http://docs.aws.amazon.com/ja_jp/appconfig/latest/userguide/setting-up-appconfig.html) |
## 自動ロールバックのアクセス許可を設定する
1 つ以上の Amazon CloudWatch アラームに応じて、設定の以前のバージョンにロールバック AWS AppConfig するように を設定できます。CloudWatch アラームに応答するようにデプロイを設定するときは、 AWS Identity and Access Management (IAM) role を指定します。CloudWatch アラームをモニタリングできるように、 はこのロール AWS AppConfig が必要です。この手順はオプションですが強くお勧めします。
**注記**
以下の情報に注意してください。
IAM ロールは 現在のアカウントに属している必要があります。デフォルトでは、 は現在のアカウントが所有するアラームのみをモニタリング AWS AppConfig できます。
モニタリングするメトリクスと、自動ロールバック AWS AppConfig 用に を設定する方法については、「」を参照してください[自動ロールバックのためのデプロイのモニタリング](monitoring-deployments.md)。
次の手順を使用して、 が CloudWatch アラームに基づいて AWS AppConfig ロールバックできるようにする IAM ロールを作成します。このセクションには、以下の手順が含まれます。
1. [ステップ 1: CloudWatch アラームに基づいてロールバック用のアクセス許可ポリシーを作成する](#getting-started-with-appconfig-cloudwatch-alarms-permissions-policy)
1. [ステップ 2: CloudWatch アラームに基づいてロールバック用の IAM ロールを作成する](#getting-started-with-appconfig-cloudwatch-alarms-permissions-role)
1. [ステップ 3: 信頼関係を追加する](#getting-started-with-appconfig-cloudwatch-alarms-permissions-trust)
### ステップ 1: CloudWatch アラームに基づいてロールバック用のアクセス許可ポリシーを作成する
次の手順を使用して、 `DescribeAlarms` API アクションを呼び出す AWS AppConfig アクセス許可を付与する IAM ポリシーを作成します。
**CloudWatch アラームに基づいてロールバック用の IAM アクセス許可ポリシーを作成するには**
1. [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) で IAM コンソール を開きます。
1. ナビゲーションペインで **ポリシー**を選択してから **ポリシーの作成**を選択します。
1. **ポリシーの作成**ページで、**JSON** タブを選択します。
1. JSON タブのデフォルトのコンテンツを次のアクセス許可ポリシーに置き換え、**次へ: タグ** を選択します。
**注記**
CloudWatch 複合アラームに関する情報を返すには、[DescribeAlarms](https://docs.aws.amazon.com/AmazonCloudWatch/latest/APIReference/API_DescribeAlarms.html) API オペレーションに、ここに示すように `*` アクセス許可を割り当てる必要があります。`DescribeAlarms` のアクセス許可の範囲が狭い場合、複合アラームに関する情報を返すことはできません。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
}
]
}
```
------
1. このロールのタグを入力し、**次へ: 確認** を選択します。
1. **確認** ページで、**名前**フィールドに「**SSMCloudWatchAlarmDiscoveryPolicy**」を入力します。
1. **ポリシーの作成**を選択します。システムによって**ポリシー**ページに戻ります。
### ステップ 2: CloudWatch アラームに基づいてロールバック用の IAM ロールを作成する
次の手順を使用して、IAM ロールを作成し、前の手順で作成したポリシーをそのロールに割り当てます。
**CloudWatch アラームに基づいてロールバック用の IAM ロールを作成するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **ロール** を選択し、続いて **ロールを作成する** を選択します。
1. **信頼されたエンティティの種類を選択** の下で、**AWS サービス** ( ) を選択します。
1. **このロールを使用するサービスを選択** のすぐ下で、**EC2: お客様に代わって EC2 インスタンスが AWS サービスを呼び出すことができるようにする**を選択し、**次へ: アクセス許可** を選択します。
1. **アタッチされたアクセス許可ポリシー** ページで、**SSMCloudWatchAlarmDiscoveryPolicy** を検索します。
1. このポリシーを選択し、**次へ: タグ** を選択します。
1. このロールのタグを入力し、**次へ: 確認** を選択します。
1. **ロールの作成**ページで、**ロール名** フィールドに「**SSMCloudWatchAlarmDiscoveryRole**」を入力し、**ロールの作成** を選択します。
1. **ロール** ページで、作成したロールを選択します。**概要** ページが開きます。
### ステップ 3: 信頼関係を追加する
次の手順を使用して、先ほど作成したロールが AWS AppConfigを信頼するように設定します。
**の信頼関係を追加するには AWS AppConfig**
1. 作成したロールの **概要** ページで **信頼関係** タブを選択し、**信頼関係の編集** を選択します。
1. 次の例に示すように、「`appconfig.amazonaws.com`」のみを含めるようにポリシーを編集します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "appconfig.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
1. **信頼ポリシーの更新** を選択します。