翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# での Identity and Access Management AWS Service Catalog
にアクセスするには、 認証情報 AWS Service Catalog が必要です。これらの認証情報には、 AWS Service Catalog ポートフォリオや product. AWS Service Catalog integrates with AWS Identity and Access Management (IAM) などの AWS リソースにアクセスするためのアクセス許可が必要です。これにより、製品の作成と管理に必要なアクセス許可を AWS Service Catalog 管理者に付与したり、製品の起動とプロビジョニング済み製品の管理に必要なアクセス許可を AWS Service Catalog エンドユーザーに付与したりできます。これらのポリシーは、 によって作成および管理されるか AWS 、管理者とエンドユーザーによって個別に管理されます。アクセスを制御するには、 ユーザー、グループ、および AWS Service Catalogで使用するロールに、これらのポリシーをアタッチします。
## オーディエンス
AWS Identity and Access Management (IAM) で持つ権限は、 AWS Service Catalogで果たすロールによって異なります。
AWS Identity and Access Management (IAM) を介して持つ権限は、 AWS Service Catalogで果たすロールによって異なる場合もあります。
**管理者** - AWS Service Catalog 管理者には、管理者コンソールへのフルアクセスと、ポートフォリオと製品の作成と管理、制約の管理、エンドユーザーへのアクセス許可の付与などのタスクを実行できるようにする IAM アクセス許可が必要です。
**エンドユーザー** - エンドユーザーが製品を使用する前に、 AWS Service Catalog エンドユーザーコンソールへのアクセスを許可するアクセス許可を付与する必要があります。また、製品を起動し、プロビジョニング済み製品を管理する権限も付与できます。
**IAM 管理者** - 管理者は、 AWS Service Catalogへのアクセスを管理するポリシーの作成方法の詳細について確認する場合があります。IAM で使用できる AWS Service Catalog アイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS の 管理ポリシー AWS Service Catalog AppRegistry](security-iam-awsmanpol.md)。
# のアイデンティティベースのポリシーの例 AWS Service Catalog
**Topics**
+ [エンドユーザーのコンソールアクセス](#permissions-end-users-console)
+ [エンドユーザー向け製品アクセス](#permissions-end-users-product)
+ [プロビジョニング済み製品を管理するためのポリシーの例](#example-policies)
## エンドユーザーのコンソールアクセス
****`AWSServiceCatalogEndUserFullAccess`**** および ****`AWSServiceCatalogEndUserReadOnlyAccess`**** ポリシーにより、 AWS Service Catalog エンドユーザーコンソールビューへのアクセス権が付与されます。これらのポリシーのいずれかを持つユーザーが AWS Service Catalog で を選択すると AWS マネジメントコンソール、エンドユーザーコンソールビューに起動するアクセス許可を持つ製品が表示されます。
エンドユーザーがアクセス権を付与 AWS Service Catalog する製品を正常に起動できるようにするには、追加の IAM アクセス許可を付与して、製品の AWS CloudFormation テンプレート内の基盤となる各 AWS リソースの使用を許可する必要があります。例えば、製品テンプレートに Amazon Relational Database Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス許可をユーザーに付与する必要があります。
エンドユーザーが AWS リソースへの最小アクセス許可を適用しながら製品を起動できるようにする方法については、「」を参照してください[AWS Service Catalog 制約の使用](constraints.md)。
**`AWSServiceCatalogEndUserReadOnlyAccess`** ポリシーを適用すると、ユーザーはエンドユーザーコンソールにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。これらのアクセス許可は、IAM を使用してエンドユーザーに直接付与できますが、エンドユーザーが AWS リソースに対して持つアクセスを制限する場合は、ポリシーを起動ロールにアタッチする必要があります。次に、 AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「[AWS Service Catalog 起動の制限](constraints-launch.md)」を参照してください。
**注記**
AWS Service Catalog 管理者に IAM アクセス許可をユーザーに付与すると、代わりに管理者コンソールビューが表示されます。エンドユーザーが管理者コンソールビューにアクセス可能にする場合を除き、これらのアクセス権限をエンドユーザーに付与しないでください。
## エンドユーザー向け製品アクセス
エンドユーザーがアクセスを許可する製品を使用する前に、製品の CloudFormation テンプレート内の基盤となる各 AWS リソースの使用を許可する追加の IAM アクセス許可を提供する必要があります。例えば、製品テンプレートに Amazon Relational Database Service (Amazon RDS) が含まれる場合、製品を起動する Amazon RDS アクセス許可をユーザーに付与する必要があります。
**`AWSServiceCatalogEndUserReadOnlyAccess`** ポリシーを適用すると、ユーザーはエンドユーザーコンソールビューにアクセスできますが、製品を起動し、プロビジョニング済み製品を管理するために必要なアクセス権限は与えられません。これらのアクセス許可は IAM のエンドユーザーに直接付与できますが、エンドユーザーが AWS リソースに対して持つアクセスを制限する場合は、ポリシーを起動ロールにアタッチする必要があります。次に、 AWS Service Catalog を使用して、製品の起動制約に起動ロールを適用します。起動ロールの適用、起動ロールの制限、サンプルの起動ロールの詳細については、「[AWS Service Catalog 起動の制限](constraints-launch.md)」を参照してください。
## プロビジョニング済み製品を管理するためのポリシーの例
カスタムポリシーを作成して所属組織のセキュリティ要件を満たすことができます。以下では、ユーザーレベル、ロールレベル、アカウントレベルをサポートするアクションごとにアクセスレベルをカスタマイズする方法の例を示します。各自のロールまたは各自がログインしているアカウントで作成したプロビジョニング済み製品を表示、更新、終了、管理するためのアクセス権を付与できます。ユーザー自身が作成したもののみを操作することも、他のユーザーが作成したものも含めて操作することもできます。このアクセス権は階層状に順次適用されます。アカウントレベルのアクセスを付与すると、ロールレベルとユーザーレベルのアクセスも付与されます。ロールレベルのアクセスを付与すると、ユーザーレベルのアクセスも付与されますが、アカウントレベルのアクセスは付与されません。これらのアクセス権は、`Condition` ブロックを `accountLevel`、`roleLevel`、または `userLevel` として使用して、ポリシー JSON で指定できます。
これらの例は、 AWS Service Catalog API 書き込みオペレーションのアクセスレベル: `UpdateProvisionedProduct`および `TerminateProvisionedProduct`、読み取りオペレーション: `DescribeRecord`、`ScanProvisionedProducts`、および にも適用されます`ListRecordHistory`。`ScanProvisionedProducts` および `ListRecordHistory` API オペレーションは `AccessLevelFilterKey` という入力を使用し、このキーの値は上で説明した `Condition` ブロックレベルに対応します (`accountLevel` は「アカウント」の `AccessLevelFilterKey` 値、`roleLevel` は「ロール」、`userLevel` は「ユーザー」に相当します)。詳細については、「[Service Catalog デベロッパーガイド](https://docs.aws.amazon.com/servicecatalog/latest/dg/)」を参照してください。
**Topics**
+ [プロビジョニング済み製品に対する完全な管理アクセス](#full-admin)
+ [プロビジョニング済み製品へのエンドユーザーアクセス](#examples-end-user)
+ [プロビジョニング済み製品に対する部分的な管理アクセス](#partial-admin)
### プロビジョニング済み製品に対する完全な管理アクセス
次のポリシーでは、アカウントレベルで、カタログ内のプロビジョニング済み製品およびレコードに対する読み取りと書き込みのフルアクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
このポリシーは、次のポリシーと機能的に同じものです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Effect":"Allow",
"Action":[
"servicecatalog:*"
],
"Resource":"*"
}
]
}
```
------
のポリシーで`Condition`ブロックを指定しない場合 AWS Service Catalog 、`"servicecatalog:accountLevel"`アクセスの指定と同じものとして扱われます。`accountLevel` のアクセスには、`roleLevel` と `userLevel` のアクセスが含まれることに注意してください。
### プロビジョニング済み製品へのエンドユーザーアクセス
次のポリシーでは、読み取りと書き込みのオペレーションへのアクセスを、現在のユーザーが作成したプロビジョニング済み製品または関連するレコードにのみ制限します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:DescribeRecord",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ListRecordHistory",
"servicecatalog:ProvisionProduct",
"servicecatalog:ScanProvisionedProducts",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
### プロビジョニング済み製品に対する部分的な管理アクセス
次の 2 つのポリシーでは、両方が同じユーザーに適用された場合、読み取り専用のフルアクセスと書き込みの制限付きアクセスを提供することで、一種の「部分的な管理アクセス」を許可します。つまり、ユーザーはカタログのアカウント内にあるプロビジョニング済み製品または関連するレコードを表示することはできますが、そのユーザーが所有しないプロビジョニング済み製品やレコードに対しては一切の操作を実行できません。
最初のポリシーでは、ユーザーに許可されるアクセスは、現在のユーザーが作成したプロビジョニング済み製品に対する書き込みオペレーションのみとなり、他のユーザーが作成したプロビジョニング済み製品は対象外になります。2 番目のポリシーでは、すべて (ユーザー、ロール、またはアカウント) が作成したプロビジョニング済み製品に対する読み込みオペレーションへのフルアクセスを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeProduct",
"servicecatalog:DescribeProductView",
"servicecatalog:DescribeProvisioningParameters",
"servicecatalog:ListLaunchPaths",
"servicecatalog:ProvisionProduct",
"servicecatalog:SearchProducts",
"servicecatalog:TerminateProvisionedProduct",
"servicecatalog:UpdateProvisionedProduct"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:userLevel": "self"
}
}
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"servicecatalog:DescribeRecord",
"servicecatalog:ListRecordHistory",
"servicecatalog:ScanProvisionedProducts"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"servicecatalog:accountLevel": "self"
}
}
}
]
}
```
------
# AWS の 管理ポリシー AWS Service Catalog AppRegistry
## AWS 管理ポリシー: `AWSServiceCatalogAdminFullAccess`
IAM エンティティに `AWSServiceCatalogAdminFullAccess` をアタッチできます。AppRegistry もこのポリシーをサービスロールにアタッチし、AppRegistry はユーザーに代わってアクションを実行できるようになります。
このポリシーは、管理者コンソールビューへのフルアクセスを許可する*管理者*権限を付与し、製品とポートフォリオを作成および管理する権限を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `servicecatalog` – プリンシパルに、管理者コンソールビューへの完全なアクセス許可と、ポートフォリオと製品の作成と管理、制約の管理、エンドユーザーへのアクセス許可の付与、内部でのその他の管理タスクの実行を許可します AWS Service Catalog。
+ `cloudformation`– AWS CloudFormation スタックを一覧表示、読み取り、書き込み、タグ付けするための AWS Service Catalog 完全なアクセス許可を付与します。
+ `config`– を介してポートフォリオ、製品、プロビジョニング済み製品に制限された AWS Service Catalog アクセス許可を付与します AWS Config。
+ `iam`— 製品およびポートフォリオの作成と管理に必要なサービスユーザー、グループ、またはロールを表示および作成するためのすべての権限をプリンシパルに許可します。
+ `ssm` – AWS Service Catalog AWS Systems Manager を使用して、現在の AWS アカウントと AWS リージョンの Systems Manager ドキュメントを一覧表示および読み取ることを許可します。
ポリシーを表示する: [AWSServiceCatalogAdminFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminFullAccess.html)。
## AWS 管理ポリシー: `AWSServiceCatalogAdminReadOnlyAccess`
IAM エンティティに `AWSServiceCatalogAdminReadOnlyAccess` をアタッチできます。AppRegistry もこのポリシーをサービスロールにアタッチし、AppRegistry はユーザーに代わってアクションを実行できるようになります。
このポリシーは、管理者コンソールビューへの完全なアクセスを許可する*読み取り専用*権限を付与します。このポリシーは、製品とポートフォリオを作成または管理するためのアクセス権は付与しません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `servicecatalog` — 管理者コンソールビューへの読み取り専用アクセス権をプリンシパルに許可します。
+ `cloudformation`– AWS CloudFormation スタックを一覧表示および読み取るための AWS Service Catalog 制限されたアクセス許可を許可します。
+ `config`– を介してポートフォリオ、製品、プロビジョニング済み製品に制限された AWS Service Catalog アクセス許可を付与します AWS Config。
+ `iam`— 製品およびポートフォリオの作成と管理に必要なサービスユーザー、グループ、またはロールを表示するための限定的な権限をプリンシパルに許可します。
+ `ssm` – AWS Service Catalog AWS Systems Manager を使用して、現在の AWS アカウントと AWS リージョンの Systems Manager ドキュメントを一覧表示および読み取ることを許可します。
ポリシーを表示する: [AWSServiceCatalogAdminReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogAdminReadOnlyAccess.html)。
## AWS 管理ポリシー: `AWSServiceCatalogEndUserFullAccess`
IAM エンティティに `AWSServiceCatalogEndUserFullAccess` をアタッチできます。AppRegistry もこのポリシーをサービスロールにアタッチし、AppRegistry はユーザーに代わってアクションを実行できるようになります。
このポリシーは、エンドユーザーコンソールビューへの完全なアクセスを許可する*投稿者*権限を付与し、製品を起動してプロビジョニングされた製品を管理する権限を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `servicecatalog` - プリンシパルに、エンドユーザーコンソールビューに対する完全な権限と、製品を起動してプロビジョニングされた製品を管理する権限を許可します。
+ `cloudformation`– AWS CloudFormation スタックを一覧表示、読み取り、書き込み、タグ付けするための AWS Service Catalog 完全なアクセス許可を付与します。
+ `config`– を介してポートフォリオ、製品、プロビジョニング済み製品の詳細を一覧表示および読み取るための AWS Service Catalog 制限付きアクセス許可を付与します AWS Config。
+ `ssm` – AWS Service Catalog 現在の AWS アカウントと AWS リージョンで AWS Systems Manager を使用して Systems Manager ドキュメントを読み取ることを許可します。
ポリシーを表示する: [AWSServiceCatalogEndUserFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserFullAccess.html)。
## AWS 管理ポリシー: `AWSServiceCatalogEndUserReadOnlyAccess`
IAM エンティティに `AWSServiceCatalogEndUserReadOnlyAccess` をアタッチできます。AppRegistry もこのポリシーをサービスロールにアタッチし、AppRegistry はユーザーに代わってアクションを実行できるようになります。
このポリシーは、エンドユーザーのコンソールビューへの読み取り専用アクセスを許可する*読み取り専用*権限を付与します。このポリシーは、製品を起動し、プロビジョニング済み製品を管理する権限は付与しません。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `servicecatalog` — エンドユーザーコンソールビューに対する読み取り専用の権限をプリンシパルに許可します。
+ `cloudformation`– AWS CloudFormation スタックを一覧表示および読み取るための AWS Service Catalog 制限されたアクセス許可を許可します。
+ `config`– を介してポートフォリオ、製品、プロビジョニング済み製品の詳細を一覧表示および読み取るための AWS Service Catalog 制限付きアクセス許可を付与します AWS Config。
+ `ssm` – AWS Service Catalog 現在の AWS アカウントと AWS リージョンで AWS Systems Manager を使用して Systems Manager ドキュメントを読み取ることを許可します。
ポリシーを表示する: [AWSServiceCatalogEndUserReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogEndUserReadOnlyAccess.html)。
## AWS 管理ポリシー: `AWSServiceCatalogSyncServiceRolePolicy`
AWS Service Catalog は、このポリシーを`AWSServiceRoleForServiceCatalogSync`サービスにリンクされたロール (SLR) にアタッチ AWS Service Catalog し、 が外部リポジトリのテンプレートを AWS Service Catalog 製品に同期できるようにします。
このポリシーは、 AWS Service Catalog アクション (API コールなど) および AWS Service Catalog に依存する他の AWS サービスアクションへの制限付きアクセスを許可するアクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `servicecatalog` – AWS Service Catalog アーティファクト同期ロールにパブリック APIs への AWS Service Catalog 制限付きアクセスを許可します。
+ `codeconnections`– AWS Service Catalog アーティファクト同期ロールに CodeConnections パブリック APIs への制限付きアクセスを許可します。
+ `cloudformation`– AWS Service Catalog アーティファクト同期ロールにパブリック APIs への AWS CloudFormation 制限付きアクセスを許可します。
ポリシーを表示する: [AWSServiceCatalogSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogSyncServiceRolePolicy.html)。
**サービスにリンクされたロールの詳細**
AWS Service Catalog は、ユーザーが CodeConnections を使用する AWS Service Catalog 製品を作成または更新するときに作成される`AWSServiceRoleForServiceCatalogSync`サービスにリンクされたロールに対して上記のアクセス許可の詳細を使用します。このポリシーは、 AWS CLI、 AWS API、または AWS Service Catalog コンソールを使用して変更できます。サービスにリンクされたロールを作成、編集、削除する方法の詳細については、「[AWS Service Catalogのサービスにリンクされたロール (SLR) の使用](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)」を参照してください。
`AWSServiceRoleForServiceCatalogSync` サービスにリンクされたロールに含まれるアクセス許可により AWS Service Catalog 、 は顧客に代わって次のアクションを実行できます。
+ `servicecatalog:ListProvisioningArtifacts` — AWS Service Catalog アーティファクト同期ロールが、リポジトリ内のテンプレートファイルに同期されている特定の AWS Service Catalog 製品のプロビジョニングアーティファクトを一覧表示できるようにします。
+ `servicecatalog:DescribeProductAsAdmin` — AWS Service Catalog アーティファクト同期ロールが `DescribeProductAsAdmin` API を使用して、リポジトリ内のテンプレートファイルに同期される AWS Service Catalog 製品および関連するプロビジョニング済みアーティファクトの詳細を取得できるようにします。アーティファクト同期ロールは、この呼び出しからの出力を使用して、プロビジョニングアーティファクトに対する製品の Service Quota 制限を検証します。
+ `servicecatalog:DeleteProvisioningArtifact` — AWS Service Catalog アーティファクト同期ロールがプロビジョニングされたアーティファクトを削除できるようにします。
+ `servicecatalog:ListServiceActionsForProvisioningArtifact` — AWS Service Catalog アーティファクト同期ロールが、サービスアクションがプロビジョニングアーティファクトに関連付けられているかどうかを判断し、サービスアクションが関連付けられている場合にプロビジョニングアーティファクトが削除されないようにします。
+ `servicecatalog:DescribeProvisioningArtifact` — アー AWS Service Catalog ティファクト同期ロールが、`SourceRevisionInfo`出力で提供されるコミット ID など、`DescribeProvisioningArtifact`API から詳細を取得できるようにします。
+ `servicecatalog:CreateProvisioningArtifact` — 外部リポジトリ内のソーステンプレートファイルへの変更が検出された場合 (git-push がコミットされた場合など)、アー AWS Service Catalog ティファクト同期ロールが新しいプロビジョニングされたアーティファクトを作成できるようにします。
+ `servicecatalog:UpdateProvisioningArtifact` — AWS Service Catalog アーティファクト同期ロールが、接続済みまたは同期済み製品のプロビジョニング済みアーティファクトを更新できるようにします。
+ `codeconnections:UseConnection` — AWS Service Catalog アーティファクト同期ロールが既存の接続を使用して製品を更新および同期できるようにします。
+ `cloudformation:ValidateTemplate` — AWS Service Catalog アーティファクト同期ロールが へのアクセスを制限 AWS CloudFormation して、外部リポジトリで使用されているテンプレートのテンプレート形式を検証し、 がテンプレートをサポート CloudFormation しているかどうかを検証できるようにします。
## AWS 管理ポリシー: `AWSServiceCatalogOrgsDataSyncServiceRolePolicy`
AWS Service Catalog は、このポリシーを`AWSServiceRoleForServiceCatalogOrgsDataSync`サービスにリンクされたロール (SLR) にアタッチし、 AWS Service Catalog と同期できるようにします AWS Organizations。
このポリシーは、 AWS Service Catalog アクション (API コールなど) および AWS Service Catalog に依存する他の AWS サービスアクションへの制限付きアクセスを許可するアクセス許可を付与します。
**アクセス許可の詳細**
このポリシーには、以下のアクセス許可が含まれています。
+ `organizations`— AWS Service Catalog データ同期ロールにパブリック APIs への AWS Organizations 制限付きアクセスを許可します。
ポリシーを表示する: [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceCatalogOrgsDataSyncServiceRolePolicy.html)。
**サービスにリンクされたロールの詳細**
AWS Service Catalog は、ユーザーが AWS Organizations 共有ポートフォリオアクセスを有効にしたとき、またはポートフォリオ共有を作成したときに作成される`AWSServiceRoleForServiceCatalogOrgsDataSync`サービスにリンクされたロールに対して上記のアクセス許可の詳細を使用します。このポリシーは、 AWS CLI、 AWS API、または AWS Service Catalog コンソールを使用して変更できます。サービスにリンクされたロールを作成、編集、削除する方法の詳細については、「[AWS Service Catalogのサービスにリンクされたロール (SLR) の使用](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/using-service-linked-roles)」を参照してください。
`AWSServiceRoleForServiceCatalogOrgsDataSync` サービスにリンクされたロールに含まれるアクセス許可により AWS Service Catalog 、 は顧客に代わって次のアクションを実行できます。
+ `organizations:DescribeAccount` — AWS Service Catalog Organizations Data Sync ロールが、指定されたアカウントに関する AWS Organizations関連情報を取得できるようにします。
+ `organizations:DescribeOrganization` — AWS Service Catalog Organizations Data Sync ロールが、ユーザーのアカウントが属する組織に関する情報を取得できるようにします。
+ `organizations:ListAccounts` — AWS Service Catalog Organizations Data Sync ロールがユーザーの組織内のアカウントを一覧表示できるようにします。
+ `organizations:ListChildren` — AWS Service Catalog Organizations Data Sync ロールが、指定された親 OU またはルートに含まれるすべての組織単位 (UOs) またはアカウントを一覧表示できるようにします。
+ `organizations:ListParents` — AWS Service Catalog Organizations データ同期ロールが、指定された子 OUs またはアカウントの直接の親として機能するルートまたは OU を一覧表示できるようにします。
+ `organizations:ListAWSServiceAccessForOrganization` — AWS Service Catalog Organizations Data Sync ロールが、ユーザーが組織との統合を有効にした AWS サービスのリストを取得できるようにします。
## 非推奨ポリシー
次の管理ポリシーは廃止されました。
+ **ServiceCatalogAdminFullAccess** — 代わりに **AWSServiceCatalogAdminFullAccess** を使用します。
+ **ServiceCatalogAdminReadOnlyAccess** — 代わりに **AWSServiceCatalogAdminReadOnlyAccess** を使用します。
+ **ServiceCatalogEndUserFullAccess** — 代わりに **AWSServiceCatalogEndUserFullAccess** を使用します。
+ **ServiceCatalogEndUserAccess** — 代わりに **AWSServiceCatalogEndUserReadOnlyAccess** を使用します。
次の手順を使用して、現在のポリシーを使用して管理者とエンドユーザーにアクセス権限を確実に付与します。
廃止されたポリシーから現在のポリシーに移行するには、AWS Identity and Access Management ユーザーガイドの「[IAM ID 権限の追加と削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_manage-attach-detach.html#add-policies-console)」を参照してください。
## AWS 管理ポリシーに対する AppRegistry の更新
このサービスがこれらの変更の追跡を開始してからの AppRegistry の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知については、AppRegistry ドキュメント履歴ページの RSS フィードをサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) – 管理ポリシーの更新 | AWS Service Catalog はポリシーを更新`AWSServiceCatalogSyncServiceRolePolicy`して `codestar-connections`に変更しました`codeconnections`。 | 2024 年 5 月 7 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) — マネージドポリシーの更新 | AWS Service Catalog は、 AWS Service Catalog 管理者がアカウントに`AWSServiceRoleForServiceCatalogOrgsDataSync`サービスにリンクされたロール (SLR) を作成するために必要なアクセス許可を含めるように`AWSServiceCatalogAdminFullAccess`ポリシーを更新しました。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogOrgsDataSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) — 新しいマネージドポリシー | AWS Service Catalog は`AWSServiceCatalogOrgsDataSyncServiceRolePolicy`、 `AWSServiceRoleForServiceCatalogOrgsDataSync` サービスにリンクされたロール (SLR) にアタッチされている を追加し AWS Service Catalog 、 と同期できるようになりました AWS Organizations。このポリシーは、 AWS Service Catalog アクション (API コールなど) および AWS Service Catalog に依存する他の AWS サービスアクションへの制限付きアクセスを許可します。 | 2023 年 4 月 14 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) — マネージドポリシーの更新 | AWS Service Catalog は、 AWS Service Catalog 管理者のすべてのアクセス許可を含めるように`AWSServiceCatalogAdminFullAccess`ポリシーを更新し、AppRegistry との互換性を作成しました。 | 2023 年 1 月 12 日 |
| [AWSServiceCatalogSyncServiceRolePolicy](#security-iam-awsmanpol-AWSServiceCatalogSyncServiceRolePolicy) — 新しいマネージドポリシー | AWS Service Catalog は、`AWSServiceRoleForServiceCatalogSync`サービスにリンクされたロール (SLR) にアタッチされている `AWSServiceCatalogSyncServiceRolePolicy`ポリシーを追加しました。このポリシーにより AWS Service Catalog 、 は外部リポジトリのテンプレートを AWS Service Catalog 製品に同期できます。 | 2022 年 11 月 18 日 |
| [AWSServiceRoleForServiceCatalogSync](using-service-linked-roles.md#slr-permissions) — サービスにリンクされた新しいロール | AWS Service Catalog に`AWSServiceRoleForServiceCatalogSync`サービスにリンクされたロール (SLR) が追加されました。このロールは、 AWS Service Catalog が CodeConnections を使用し、製品の AWS Service Catalog プロビジョニングアーティファクトを作成、更新、および記述するために必要です。 | 2022 年 11 月 18 日 |
| [AWSServiceCatalogAdminFullAccess](#security-iam-awsmanpol-AWSServiceCatalogAdminFullAccess) — マネージドポリシーの更新 | AWS Service Catalog は、 AWS Service Catalog 管理者に必要なすべてのアクセス許可を含めるように`AWSServiceCatalogAdminFullAccess`ポリシーを更新しました。このポリシーは、作成、説明、削除など、管理者がすべての AWS Service Catalog リソースに対して実行できる特定のアクションを識別します。さらに、最近起動された機能である属性ベースのアクセスコントロール (ABAC) をサポートするようにポリシーが変更されました AWS Service Catalog。ABAC では、`AWSServiceCatalogAdminFullAccess` ポリシーをテンプレートとして使用し、タグに基づいて AWS Service Catalog リソースに対するアクションを許可または拒否できます。ABAC の詳細については、「AWS Identity and Access Managementの [AWSのABAC の概要](https://docs.aws.amazon.com/IAM/latest/UserGuide/introduction_attribute-based-access-control.html)」を参照してください。 | 2022 年 9 月 30 日 |
| AppRegistry が変更の追跡を開始 | AppRegistry は、 AWS 管理ポリシーの変更の追跡を開始しました。 | 2022 年 9 月 15 日 |
# のサービスにリンクされたロールの使用 AWS Service Catalog
AWS Service Catalog は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Service Catalog。サービスにリンクされたロールは によって事前定義 AWS Service Catalog されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Service Catalog が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Service Catalog を定義します。特に定義されている場合を除き、 のみがそのロールを引き受け AWS Service Catalog ることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、 AWS Service Catalog リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。そのサービスに関するサービスリンクロールのドキュメントを表示するには、リンクが設定されている **[はい]** を選択します。
## `AWSServiceRoleForServiceCatalogSync` のサービスリンクロールのアクセス許可
AWS Service Catalog は、 という名前のサービスにリンクされたロールを使用できます**`AWSServiceRoleForServiceCatalogSync`**。このサービスにリンクされたロールは、 AWS Service Catalog が CodeConnections を使用し、製品のプロビジョニングアーティファクトを作成、更新、および記述 AWS Service Catalog するために必要です。
`AWSServiceRoleForServiceCatalogSync` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `sync.servicecatalog.amazonaws.com`
**AWSServiceCatalogSyncServiceRolePolicy** という名前のロールアクセス許可ポリシーにより AWS Service Catalog 、 は指定されたリソースに対して次のアクションを実行できます。
+ アクション: `Connection`。対象リソース: `CodeConnections`
+ アクション: AWS Service Catalog 製品の `ProvisioningArtifact` `Create, Update, and Describe`オン
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「[Service-linked role permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
### `AWSServiceRoleForServiceCatalogSync` サービスリンクロールの作成
`AWSServiceRoleForServiceCatalogSync` サービスにリンクされたロールを手動で作成する必要はありません。 AWS Service Catalog 、 AWS マネジメントコンソール、または AWS API で CodeConnections を確立すると AWS CLI、 によってサービスにリンクされたロールが自動的に作成されます。
**重要**
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、 AWS Service Catalog サービスにリンクされたロールのサポートを開始した 2022 年 11 月 18 日より前にサービスを使用していた場合、 はその`AWSServiceRoleForServiceCatalogSync`ロールをアカウントに AWS Service Catalog 作成します。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。CodeConnections を確立すると、 によってサービスにリンクされたロールが再度 AWS Service Catalog 作成されます。
IAM コンソールを使用して、**同期された AWS Service Catalog 製品のユースケースでサービスにリンクされた**ロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用して`sync.servicecatalog.amazonaws.com`サービスにリンクされたロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
## `AWSServiceRoleForServiceCatalogOrgsDataSync` のサービスリンクロールのアクセス許可
AWS Service Catalog は、 という名前のサービスにリンクされたロールを使用できます**`AWSServiceRoleForServiceCatalogOrgsDataSync`**。このサービスにリンクされたロールは、 AWS Service Catalog 組織が と同期し続けるために必要です AWS Organizations。
`AWSServiceRoleForServiceCatalogOrgsDataSync` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `orgsdatasync.servicecatalog.amazonaws.com`
`AWSServiceRoleForServiceCatalogOrgsDataSync` サービスにリンクされたロールでは、`AWSServiceCatalogOrgsDataSyncServiceRolePolicy` [マネージドポリシー](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSServiceCatalogOrgsDataSyncServiceRolePolicy) に加えて以下の信頼ポリシーを使用する必要があります。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "orgsdatasync.servicecatalog.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
**AWSServiceCatalogOrgsDataSyncServiceRolePolicy** という名前のロールアクセス許可ポリシーにより AWS Service Catalog 、 は指定されたリソースに対して次のアクションを実行できます。
+ アクション: `Organizations accounts` に対する `DescribeAccount`、`DescribeOrganization` および `ListAWSServiceAccessForOrganization`
+ アクション: `Organizations accounts` に対する `ListAccounts`、`ListChildren` および `ListParent`
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「[Service-linked role permissions](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
### `AWSServiceRoleForServiceCatalogOrgsDataSync` サービスリンクロールの作成
`AWSServiceRoleForServiceCatalogOrgsDataSync`サービスにリンクされたロールを手動で作成する必要はありません。 AWS Service Catalog は、ユーザーに代わってバックグラウンドで SLR を作成する AWS Service Catalog アクセス許可[ポートフォリオの共有](catalogs_portfolios_sharing_how-to-share.md)として、 [との共有 AWS Organizations](catalogs_portfolios_sharing_how-to-share.md#portfolio-sharing-organizations)または を有効にするアクションを考慮します。
AWS Service Catalog は、、、または AWS API `CreatePortfolioShare`で `EnableAWSOrganizationsAccess` または AWS マネジメントコンソールをリクエストすると AWS CLI、サービスにリンクされたロールを自動的に作成します。
**重要**
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。`EnableAWSOrganizationsAccess` または `CreatePortfolioShare` をリクエストすると、 AWS Service Catalog はサービスにリンクされたロールを再度作成します。
## のサービスにリンクされたロールの編集 AWS Service Catalog
AWS Service Catalog では、 `AWSServiceRoleForServiceCatalogSync`または`AWSServiceRoleForServiceCatalogOrgsDataSync`サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## のサービスにリンクされたロールの削除 AWS Service Catalog
IAM コンソール、 CLI、または AWS API AWS を使用して、 `AWSServiceRoleForServiceCatalogSync` または `AWSServiceRoleForServiceCatalogOrgsDataSync` SLR を手動で削除できます。これを行うには、まずサービスにリンクされたロールを使用しているすべてのリソース (外部リポジトリに同期されている AWS Service Catalog 製品など) を手動で削除してから、サービスにリンクされたロールを手動で削除できます。
## AWS Service Catalog サービスにリンクされたロールでサポートされているリージョン
AWS Service Catalog は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。
****
| リージョン名 | リージョン識別子 | でのサポート AWS Service Catalog |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アフリカ (ケープタウン) | af-south-1 | はい |
| アジアパシフィック (香港) | ap-east-1 | はい |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (ミラノ) | eu-south-1 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 中東 (バーレーン) | me-south-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (米国東部) | us-gov-east-1 | いいえ |
| AWS GovCloud (米国西部) | us-gov-west-1 | いいえ |
# AWS Service Catalog ID とアクセスのトラブルシューティング
以下の情報は、 および IAM の使用時に発生する可能性がある一般的な問題の診断 AWS Service Catalog と修正に役立ちます。
**Topics**
+ [でアクションを実行する権限がありません AWS Service Catalog](#troubleshoot-one)
+ [`iam:PassRole` を実行する権限がない](#troubleshoot-two)
+ [自分の AWS アカウント以外のユーザーに自分の AWS Service Catalog リソースへのアクセスを許可したい](#troubleshoot-five)
## でアクションを実行する権限がありません AWS Service Catalog
でアクションを実行する権限がないと AWS マネジメントコンソール 通知された場合は、管理者に連絡してサポートを依頼する必要があります。管理者とは、サインイン認証情報を提供した担当者です。次のエラー例は、mateojackson ユーザーがコンソールを使用して架空の my-example-widget リソースの詳細を表示しようとしたものの、架空の `aws:GetWidget` 権限を持っていない場合に発生します。
```
User: arn:aws:iam::123456789012:user/mateojackson is not authorized to perform: aws:GetWidget on resource: my-example-widget
```
この場合、Mateo は、`aws:GetWidget` アクションを使用して `my-example-widget` リソースへのアクセスが許可されるように、管理者にポリシーの更新を依頼します。
## `iam:PassRole` を実行する権限がない
`iam:PassRole` アクションを実行することが認可されていないというエラーが表示された場合、管理者に問い合わせ、サポートを依頼する必要があります。管理者は、ユーザー名とパスワードを提供した人です。そのユーザーにポリシーを更新して、 AWS Service Catalogにロールを渡すことができるようにするように依頼します。
一部の AWS サービスでは、新しいサービスロールまたはサービスにリンクされたロールを作成する代わりに、そのサービスに既存のロールを渡すことができます。そのためには、サービスにロールを渡すアクセス許可が必要です。
次のエラー例は、marymajor という名前のユーザーがコンソールを使用して AWS Service Catalogでアクションを実行しようとすると発生します。ただし、アクションには、サービスロールによってサービスに許可が付与されている必要があります。Mary には、ロールをサービスに渡すアクセス許可がありません。
```
User: arn:aws:iam::123456789012:user/marymajor is not authorized to perform: iam:PassRole
```
この場合、メアリーは担当の管理者に iam:PassRole アクションを実行できるようにポリシーの更新を依頼します。
## 自分の AWS アカウント以外のユーザーに自分の AWS Service Catalog リソースへのアクセスを許可したい
他のアカウントのユーザーや組織外の人が、リソースにアクセスするために使用できるロールを作成できます。ロールの引き受けを委託するユーザーを指定できます。リソースベースのポリシーまたはアクセスコントロールリスト (ACL) をサポートするサービスの場合、それらのポリシーを使用して、リソースへのアクセスを付与できます。
詳細については、以下を参照してください:
+ がこれらの機能 AWS Service Catalog をサポートしているかどうかを確認するには、 *AWS Service Catalog 管理者ガイド*[AWS Identity and Access Management の AWS Service Catalog](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/controlling_access.html)「」の「」を参照してください。
+ 所有している AWS アカウント間でリソースへのアクセスを提供する方法については、IAM *ユーザーガイド*の[「所有している別の AWS アカウントの IAM ユーザーへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_aws-accounts.html)」を参照してください。
+ サードパーティー AWS アカウントにリソースへのアクセスを提供する方法については、*IAM ユーザーガイド*の[「サードパーティーが所有する AWS アカウントへのアクセスを提供する](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_common-scenarios_third-party.html)」を参照してください。
+ ID フェデレーションを介してアクセスを提供する方法については、*IAM ユーザーガイド*の[外部で認証されたユーザー (ID フェデレーション) へのアクセスの許可](https://docs.aws.amazon.com//IAM/latest/UserGuide/id_roles_common-scenarios_federated-users.html)を参照してください。
+ クロスアカウントアクセスでのロールとリソースベースのポリシーの使用の違いの詳細については、「IAM ユーザーガイド」の「[IAM ロールとリソースベースのポリシーとの相違点](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_compare-resource-policies.html)」を参照してください。
# アクセス権限の制御
AWS Service Catalog ポートフォリオを使用すると、管理者はエンドユーザーのグループに対してレベルのアクセス制御を行うことができます。ユーザーをポートフォリオに追加すると、ユーザーは、ポートフォリオ内の任意の製品を閲覧および起動できるようになります。詳細については、「[ポートフォリオの管理](catalogs_portfolios.md)」を参照してください。
## 制約
制約により、特定のポートフォリオから製品を起動するときにエンドユーザーに適用されるルールが制御されます。制約を使用して、製品に制限を適用し、ガバナンスまたはコスト管理を実現します。制約の詳細については、「[AWS Service Catalog 制約の使用](constraints.md)」を参照してください。
AWS Service Catalog 起動制約により、エンドユーザーが必要とするアクセス許可をより詳細に制御できます。管理者がポートフォリオ内の製品の起動制約を作成すると、起動制約によって、エンドユーザーがそのポートフォリオから製品を起動するときに使用されるロール ARN が関連付けられます。このパターンを使用すると、 AWS リソース作成へのアクセスを制御できます。詳細については、「[AWS Service Catalog 起動の制限](constraints-launch.md)」を参照してください。