翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
前提条件
以下のトピックでは、AWS Partner Central と AWS アカウントをリンクするために必要な前提条件を示します。リストされた順序でトピックに従うことをお勧めします。
注記
ユーザーインターフェイス、機能、パフォーマンスの問題により、アカウントリンクは Firefox 延長サポートリリース (Firefox ESR) をサポートしていません。通常のバージョンの Firefox またはいずれかの Chrome ブラウザを使用することをお勧めします。
ユーザーロールとアクセス許可
AWS アカウントを AWS Partner Central アカウントにリンクするには、次のロールのユーザーが必要です。
- Identity and Access Management (IAM ) 管理者
-
IAM を通じてユーザーアクセス許可を管理します。通常、IT セキュリティ、情報セキュリティ、専用 IAM チーム、ガバナンスおよびコンプライアンス組織で機能します。IAM ポリシーの実装、SSO ソリューションの設定、コンプライアンスレビューの処理、ロールベースのアクセスコントロール構造の維持を担当します。
- AWS Partner Central Alliance リードまたはクラウド管理者
-
会社のプライマリアカウント管理者。この人物は、 AWS パートナーネットワークの利用規約を受け入れるために、ビジネス開発またはビジネスリーダーシップの役割と法的権限を持っている必要があります。Alliance Lead は、Cloud Admin ユーザーロールを持つ Partner Central ユーザーへのアカウントリンクを委任できます。
適切な AWS アカウントの選択
以下の表の情報を使用して、Partner Central AWS アカウントにリンクするアカウントを決定します。
重要
AWS アカウントを選択するときは、次の点を考慮してください。
-
AWS Partner Central には、IAM ポリシーを使用してアクセスを制御する AWS アカウントが必要です。
-
リンクされた AWS アカウントは、Partner Central APIs を使用して、APN 料金の支払い、ソリューション、APN カスタマーエンゲージメント (ACE) の機会追跡を管理します。
-
AWS パートナーネットワークの機能と APIsは、リンク AWS されたアカウントから利用できます。
-
AWS ACE オポチュニティ、オポチュニティ履歴、マルチパートナーオポチュニティ招待などの リソースは、リンクされた AWS アカウントで作成され、他の AWS アカウントに転送することはできません。
-
リンク先の AWS アカウントは有料 AWS アカウントプランに含まれている必要があります。 AWS アカウントにサインアップするときは、有料アカウントプランを選択します。 AWS アカウントを有料 AWS アカウントプランにアップグレードするには、AWS 請求ユーザーガイドのAWS 「無料利用枠プランの選択」を参照してください。
-
AWS では、以下の目的で使用されていない AWS アカウントをリンクすることをお勧めします。
管理アカウント。組織内のすべてのアカウントの AWS アカウント情報とメタデータを管理します。
ユーザーとデータがアプリケーションとサービスとやり取りする本番稼働用アカウント。
デベロッパーがコードを記述するデベロッパーまたはサンドボックスアカウント。
個人が個人プロジェクトについて学習、実験、作業する個人アカウント。
製品を調達する AWS Marketplace 購入者アカウント AWS Marketplace。
リンクされたアカウントを AWS Partner Network エンゲージメントとは別にしておくと、他の環境に影響を与えずに AWS Partner Central に固有の設定を柔軟に行うことができます。これにより、財務追跡、税務報告、監査も簡素化されます。
| AWS パートナーシナリオ | 例 | AWS アカウントオプション | 考慮事項 |
|---|---|---|---|
|
シナリオ 1: サードパーティーが管理する AWS アカウントを所有しており、 AWS Marketplace 販売者として登録されていない (複数可) |
AWS AWS ディストリビューターパートナーと連携するパートナー |
オプション 1: アカウントを作成して AWS リンクします。 オプション 2: 既存の AWS アカウントへのリンク |
オプション 1:
オプション 2:
|
|
シナリオ 2: AWS アカウントを所有しており、 AWS Marketplace 販売者として登録されていない (複数可) |
AWS を通じて取引しないパートナー AWS Marketplace 、または AWS Marketplace が利用できない国のパートナー |
シナリオ 1 と同じ |
シナリオ 1 と同じ |
|
シナリオ 3: AWS アカウントを所有し、単一の Marketplace AWS Marketplace 販売者アカウントを持つ販売者として登録されている (複数可) |
AWS 単一の国で統合された製品出品を行っているパートナー、またはグローバルに事業を行っているパートナー |
オプション 1: 新しい AWS アカウントを作成してリンクする オプション 2: 既存の AWS アカウントへのリンク オプション 3: AWS Marketplace 販売者アカウントへのリンク |
オプション 1:
オプション 2:
オプション 3:
|
|
シナリオ 4: AWS アカウントを所有し、複数の AWS Marketplace 販売者アカウントを持つ販売者として登録されている (複数可) |
AWS さまざまな事業部門に複数の製品出品がある、または規制とコンプライアンスの要件を満たす必要があるパートナー |
シナリオ 3 と同じ |
シナリオ 3 と同じ |
IAM アクセス許可の付与
このセクションに記載されている IAM ポリシーは、AWS Partner Central ユーザーにリンクされた AWS アカウントへの制限付きアクセスを付与します。アクセスレベルは、ユーザーに割り当てられた IAM ロールによって異なります。アクセス許可レベルの詳細については、このトピックのロールのアクセス許可について後半の「」を参照してください。
ポリシーを作成するには、環境を担当する AWS IT 管理者である必要があります。完了したら、IAM ユーザーまたはロールにポリシーを割り当てる必要があります。
このセクションのステップでは、IAM コンソールを使用してポリシーを作成する方法について説明します。
注記
提携リードまたはクラウド管理者で、 AWS 管理者権限を持つ IAM ユーザーまたはロールが既にある場合は、「」に進みますAWS Partner Central と AWS アカウントのリンク。
AWS Partner Central ロールの詳細については、このガイドのAWS Partner Central ロール後半の「」を参照してください。
ポリシーを作成するには
-
IAM コンソール
にサインインします。 -
[アクセス管理] で、[ポリシー] を選択します。
-
ポリシーの作成を選択し、JSON を選択し、次のポリシーを追加します。
-
[次へ] を選択します。
-
ポリシーの詳細の「ポリシー名」ボックスに、ポリシーの名前とオプションの説明を入力します。
-
ポリシーのアクセス許可を確認し、必要に応じてタグを追加し、ポリシーの作成を選択します。
-
IAM ユーザーまたはロールをポリシーにアタッチします。アタッチの詳細については、IAM ユーザーガイドの「IAM ID アクセス許可の追加 (コンソール)」を参照してください。
ロールのアクセス許可について
IT 管理者が前のセクションのステップを完了すると、AWS Partner Central の提携リーダーなどはセキュリティポリシーを割り当て、ユーザーロールをマッピングできます。次の表は、アカウントのリンク中に作成された標準ロールと、各ロールで使用できるタスクの一覧と説明です。
| 標準 IAM ロール | AWS 使用される Partner Central 管理ポリシー | できる | できない |
|---|---|---|---|
| クラウド管理者 |
|
||
| アライアンスチーム |
|
AWS Partner Central ユーザーに IAM ロールをマッピングまたは割り当てます。提携リードとクラウド管理者のみがロールをマッピングまたは割り当てます。 | |
| ACE チーム |
|
|
シングルサインオンのアクセス許可セットの作成
次の手順では、IAM Identity Center を使用して、AWS Partner Central にアクセスするためのシングルサインオンを有効にするアクセス許可セットを作成する方法について説明します。
アクセス許可セットの詳細については、AWS 「IAM Identity Center ユーザーガイド」の「アクセス許可セットの作成」を参照してください。
-
IAM アイデンティティセンターコンソール
にサインインします。 -
[マルチアカウント権限] で、[権限セット] を選択します。
-
[Create permission set] (アクセス権限セットの作成) を選択します。
-
アクセス許可セットタイプの選択ページで、アクセス許可セットタイプでカスタムアクセス許可セットを選択し、次へを選択します。
-
以下の操作を実行します。
-
ポリシーとアクセス許可の境界を指定ページで、アクセス許可セットに適用する IAM ポリシーのタイプを選択します。
デフォルトでは、最大 10 の管理 AWS ポリシーとカスタマー管理ポリシーの任意の組み合わせをアクセス許可セットに追加できます。IAM はこのクォータを設定します。これを行うには、アクセス許可セットを割り当てる各 AWS アカウントの Service Quotas コンソールで、IAM ロールにアタッチされた IAM クォータ管理ポリシーの引き上げをリクエストします。
-
[インラインポリシー] を展開して、カスタム JSON 形式のポリシーテキストを追加します。インラインポリシーは既存の IAM リソースに対応していません。インラインポリシーを作成するには、表示されたフォームにカスタムポリシー言語を入力します。IAM Identity Center は、メンバーアカウントに作成した IAM リソースにポリシーを追加します。詳細については、「インラインポリシー」を参照してください。
-
AWS Partner Central および AWS Account Linking の前提条件から JSON ポリシーをコピーして貼り付ける
-
-
[権限セットの詳細指定] ページで、以下を実行します。
-
[権限セット名] に、IAM Identity Center でこの権限セットを識別するための名前を入力します。このアクセス許可セットに指定した名前は、利用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、 AWS アカウントを選択し、ロールを選択します。
-
(オプション) 説明を入力することもできます。説明は、 AWS アクセスポータルではなく、IAM Identity Center コンソールにのみ表示されます。
-
(オプション) Session duration (セッション期間) の値を指定します。この値は、コンソールがユーザーをセッションからログアウトさせるまでのログオン時間の長さを決定します。詳細については、AWS 「アカウントのセッション期間を設定する」を参照してください。
-
(オプション) Relay state (リレーステート) の値を指定します。この値は、フェデレーションプロセスにおいて、アカウント内のユーザーをリダイレクトするために使用されます。詳細については、AWS 「マネジメントコンソールにすばやくアクセスするためのリレー状態の設定」を参照してください。
注記
リレー状態には AWS マネジメントコンソール URL を使用する必要があります。例:
https://console.aws.amazon.com/ec2/ -
[タグ (オプション)] を拡張して [タグの追加] を選択し、[キー] と [値 (オプション)] () の値を指定します。
タグの詳細については、「IAM Identity Center AWS リソースのタグ付け」を参照してください。
-
[次へ] を選択します。
-
-
[確認と作成] ページで、選択した内容を確認し、[作成] を選択します。
デフォルトでは、アクセス許可セットを作成すると、アクセス許可セットはプロビジョニングされません (どの AWS アカウントでも使用されます)。 AWS アカウントでアクセス許可セットをプロビジョニングするには、アカウントのユーザーとグループに IAM Identity Center アクセスを割り当て、そのアクセス許可セットをそれらのユーザーとグループに適用する必要があります。詳細については、AWS IAM Identity Center ユーザーガイドのAWS 「アカウントへのユーザーアクセスの割り当て」を参照してください。
