翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
直接変更モードの開始方法
まず前提条件を確認してから、対象となる AMS Advanced アカウントで変更リクエスト (RFC) を送信します。
DCM で使用するアカウントが要件を満たしていることを確認します。
アカウントは AMS Advanced Plus または Premium です。
アカウントで Service Catalog が有効になっていません。現在、DCM と Service Catalog の両方へのアカウントのオンボーディングはサポートされていません。Service Catalog に既にオンボーディングされているが DCM に関心がある場合は、クラウドサービスデリバリーマネージャー (CSDM) とニーズについて話し合ってください。Service Catalog から DCM に切り替える場合は、Service Catalog をオフボードして変更を依頼してください。AMS での Service Catalog の詳細については、「AMS と Service Catalog」を参照してください。
Management | Managed Account | Direct Change Mode | Enable change type (ct-3rd4781c2nnhp) を使用して、変更リクエスト (RFC) を送信します。チュートリアルの例については、「直接変更モード | 有効化」を参照してください。
CT が処理されると、事前定義された IAM ロール
AWSManagedServicesCloudFormationAdminRole
とAWSManagedServicesUpdateRole
が指定されたアカウントにプロビジョニングされます。内部フェデレーションプロセスを使用して DCM アクセスを必要とするユーザーに適切なロールを割り当てます。
注記
ロールを引き受けるには、任意の数の SAMLIdentityProviders、 AWS Services、IAM エンティティ (ロール、ユーザーなど) を指定できます。、SAMLIdentityProviderARNs
、IAMEntityARNs
または の少なくとも 1 つを指定する必要がありますAWSServicePrincipals
。詳細については、会社の IAM 部門または AMS クラウドアーキテクト (CA) にお問い合わせください。
直接変更モードの IAM ロールとポリシー
アカウントで直接変更モードが有効になっている場合、これらの新しい IAM エンティティがデプロイされます。
AWSManagedServicesCloudFormationAdminRole
: このロールは、CloudFormation コンソールへのアクセス、CloudFormation スタックの作成と更新、ドリフトレポートの表示、CloudFormation ChangeSets の作成と実行を許可します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。
ロールAWSManagedServicesCloudFormationAdminRole
にデプロイおよびアタッチされる管理ポリシーは次のとおりです。
AMS Advanced マルチアカウントランディングゾーン (MALZ) アプリケーションアカウント
AWSManagedServices_CloudFormationAdminPolicy1
AWSManagedServices_CloudFormationAdminPolicy2
このポリシーは、 に付与されたアクセス許可を表します
AWSManagedServicesCloudFormationAdminRole
。このポリシーを使用して、アカウント内の既存のロールへのアクセスを許可し、そのロールがアカウント内の CloudFormation スタックを起動および更新できるようにします。これには、他の IAM エンティティが CloudFormation スタックを起動できるように、追加の AMS サービスコントロールポリシー (SCP) 更新が必要になる場合があります。
AMS Advanced シングルアカウントランディングゾーン (SALZ) アカウント
AWSManagedServices_CloudFormationAdminPolicy1
AWSManagedServices_CloudFormationAdminPolicy2
cdk-legacy-mode-s3-access [インラインポリシー〕
AWS ReadOnlyAccess ポリシー
AWSManagedServicesUpdateRole
: このロールは、ダウンストリーム AWS サービス APIs への制限付きアクセスを許可します。ロールは、変更および非変更 API オペレーションを提供する マネージドポリシーでデプロイされますが、一般的には、IAM、KMS、GuardDuty、VPC、AMS インフラストラクチャリソースや設定などの特定のサービスに対して変更オペレーション (Create/Delete/PUT など) を制限します。このロールへのアクセスは、SAML プロバイダーを通じて管理されます。
ロールAWSManagedServicesUpdateRole
にデプロイおよびアタッチされる管理ポリシーは次のとおりです。
AMS Advanced マルチアカウントランディングゾーンアプリケーションアカウント
AWSManagedServicesUpdateBasePolicy
AWSManagedServicesUpdateDenyPolicy
AWSManagedServicesUpdateDenyProvisioningPolicy
AWSManagedServicesUpdateEC2AndRDSPolicy
AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy
-
AMS Advanced シングルアカウントランディングゾーンアカウント
AWSManagedServicesUpdateBasePolicy
AWSManagedServicesUpdateDenyProvisioningPolicy
AWSManagedServicesUpdateEC2AndRDSPolicy
AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy1
AWSManagedServicesUpdateDenyActionsOnAMSInfraPolicy2
これらに加えて、 マネージドポリシーAWSManagedServicesUpdateRole
ロールには AWS マネージドポリシーもアViewOnlyAccess
タッチされています。