翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。 # ステップ 1. 必要なロールを作成する アカウントのカスタマイズを開始する前に、AWS Control Tower とハブアカウント間の信頼関係を含んでいるロールを設定する必要があります。このロールが継承されると、ハブアカウントのリソースを管理するためのアクセス権を AWS Control Tower に付与できます。ロールの名前は **AWSControlTowerBlueprintAccess** にする必要があります。 AWS Control Tower はこのロールを引き受けて、ユーザーに代わってポートフォリオリソースを作成し AWS Service Catalog、ブループリントを Service Catalog 製品としてこのポートフォリオに追加し、アカウントプロビジョニング中にこのポートフォリオとブループリントをメンバーアカウントと共有します。 以下のセクションの説明に従って、`AWSControlTowerBlueprintAccess` ロールを作成します。ロールは、登録済みアカウントまたは未登録アカウントで設定できます。 **IAM コンソールに移動して、必要なロールを設定します。** **登録されている AWS Control Tower アカウントで AWSControlTowerBlueprintAccess ロールを設定するには** 1. AWS Control Tower 管理アカウントにプリンシパルとしてフェデレートまたはサインインします。 1. 管理アカウントのフェデレーションプリンシパルから、ブループリントハブアカウントとして機能するように選択した登録済みの AWS Control Tower アカウントの `AWSControlTowerExecution` ロールを継承するか、ロールを切り替えます。 1. 登録した AWS Control Tower アカウントの `AWSControlTowerExecution` ロールから、適切な権限と信頼関係を持つ `AWSControlTowerBlueprintAccess` ロールを作成します。 **重要** AWS ベストプラクティスのガイダンスに準拠するには、`AWSControlTowerExecution`ロールの作成直後に`AWSControlTowerBlueprintAccess`ロールからサインアウトすることが重要です。 `AWSControlTowerExecution` ロールは、リソースの意図しない変更を防ぐために、AWS Control Tower でのみ使用することを目的としています。 ブループリントハブアカウントが AWS Control Tower に登録されていない場合は、`AWSControlTowerExecution` ロールがアカウントに存在しないため、`AWSControlTowerBlueprintAccess` ロールのセットアップを続行する前にロールを継承する必要はありません。 **未登録のメンバーアカウントで AWSControlTowerBlueprintAccess ロールを設定するには** 1. 推奨されている方法で、ハブアカウントとして指定したいアカウントにプリンシパルとしてフェデレートまたはサインインします。 1. アカウントにプリンシパルとしてログインしたら、適切な権限と信頼関係を持つ `AWSControlTowerBlueprintAccess` ロールを作成します。 **AWSControlTowerBlueprintAccess** ロールは、次の 2 つのプリンシパルに信頼を付与するように設定する必要があります。 + AWS Control Tower 管理アカウントで AWS Control Tower を実行するプリンシパル (ユーザー)。 + AWS Control Tower 管理アカウントの `AWSControlTowerAdmin` という名前のロール。 次に信頼ポリシーの例を示します。これは、ロールに含める必要があるポリシーと似ています。このポリシーは、最小特権アクセスの付与のベストプラクティスを示しています。独自のポリシーを作成する場合は、{{YourManagementAccountId}} を AWS Control Tower 管理アカウントの実際のアカウント ID で置き換え、{{YourControlTowerUserRole}} を管理アカウントの IAM ロールの識別子で置き換えます。 ------ #### [ JSON ] **** ``` { "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "AWS": [ "arn:aws:iam::{{111122223333}}:role/service-role/AWSControlTowerAdmin", "arn:aws:iam::{{111122223333}}:role/YourControlTowerUserRole" ] }, "Action": "sts:AssumeRole" } ] } ``` ------ **必要なアクセス許可ポリシー** AWS Control Tower では、`AWSServiceCatalogAdminFullAccess` という名前の管理ポリシーを `AWSControlTowerBlueprintAccess` ロールにアタッチする必要があります。このポリシーは、AWS Control Tower がポートフォリオと AWS Service Catalog 製品リソースを管理できるようにするときに AWS Service Catalog が探すアクセス許可を提供します。このポリシーは、IAM コンソールでロールを作成するときにアタッチできます。 **追加のアクセス許可が必要な場合があります** ブループリントを Amazon S3 に保存する場合、AWS Control Tower には `AWSControlTowerBlueprintAccess` ロールの `AmazonS3ReadOnlyAccess` アクセス許可ポリシーも必要です。 デフォルトの**管理者**ポリシーを使用しない場合、 AWS Service Catalog Terraform タイプの製品では、AFC カスタム IAM ポリシーにいくつかのアクセス許可を追加する必要があります。Terraform テンプレートで定義するリソースを作成するために必要なアクセス許可に加えて、これらが必要です。