View a markdown version of this page

前提条件 - AWS パートナーセントラル
ユーザーロールとアクセス許可AWS Partner Central の AWS アカウントを選択するIAM アクセス許可の付与ロールのアクセス許可についてシングルサインオンのアクセス許可セットの作成

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

前提条件

以下のトピックでは、AWS Partner Central と AWS アカウントをリンクするために必要な前提条件を示します。リストされた順序でトピックに従うことをお勧めします。

注記

ユーザーインターフェイス、機能、パフォーマンスの問題により、アカウントリンクは Firefox 延長サポートリリース (Firefox ESR) をサポートしていません。Firefox の通常バージョンまたはいずれかの Chrome ブラウザを使用することをお勧めします。

ユーザーロールとアクセス許可

AWS アカウントを AWS Partner Central アカウントにリンクするには、次のロールのユーザーが必要です。

Identity and Access Management (IAM ) 管理者

IAM を通じてユーザーアクセス許可を管理します。通常、IT セキュリティ、情報セキュリティ、専用 IAM チーム、ガバナンスおよびコンプライアンス組織で機能します。IAM ポリシーの実装、SSO ソリューションの設定、コンプライアンスレビューの処理、ロールベースのアクセスコントロール構造の維持を担当します。

AWS Partner Central Alliance リードまたはクラウド管理者

会社のプライマリアカウント管理者。この人物は、 AWS パートナーネットワークの利用規約を受け入れるために、ビジネス開発またはビジネスリーダーシップの役割と法的権限を持っている必要があります。Alliance Lead は、Cloud Admin ユーザーロールを持つ Partner Central ユーザーへのアカウントリンクを委任できます。

AWS Partner Central プロファイルにリンクする AWS アカウントを選択します。これは、新しい AWS パートナーとして登録する場合も、レガシー AWS Partner Network (APN) ポータルから移行する場合も適用されます。

AWS Partner Central に選択した AWS アカウントは、APN 料金の支払い、ソリューション、APN カスタマーエンゲージメント (ACE) の機会追跡を管理します。ACE オポチュニティ、オポチュニティ履歴、マルチパートナーオポチュニティの招待など、すべての APN リソースはアカウントで作成され、他の AWS アカウントに転送することはできません。

レガシー Partner Central にアクセスできる AWS パートナーで、APN 料金の支払いまたは Partner Central 移行のために AWS アカウントをリンクする必要がある場合、アカウントリンクは移行後に永続的です。移行前に、アカウントのリンクを解除し、別のアカウントを選択できます。移行後、リンクされたアカウントを変更することはできません。ACE オポチュニティ、オポチュニティ履歴、マルチパートナーオポチュニティの招待を含むすべての AWS Partner Network リソースは、このアカウントに永続的に関連付けられます。

次の表の情報を使用して、AWS Partner Central AWS アカウントにリンクまたは選択するアカウントを決定します。

アカウント選択チェックリスト

アカウントは次の条件を満たす必要があります。

  • 有料 AWS アカウントプランを使用してグッドスタンディング – アカウントは有料 AWS アカウントプラン (無料利用枠ではない) を使用し、 AWS および APN でグッドスタンディングを維持する必要があります。有料アカウントプランにアップグレードするには、AWS 請求ユーザーガイドAWS 「無料利用枠プランの選択」を参照してください。

  • 会社が所有している — アカウントは会社が所有し、会社が管理する AWS 組織に属している必要があります。ディストリビューターまたは別の組織が所有することや、ディストリビューターの組織内のメンバーアカウントであってはなりません

  • 将来の AWS Partner Central ユーザーをオンボーディングできる — 機会、ソリューション、資金リクエストを作成する必要があるユーザーは、このアカウントにアクセスする必要があります。

  • 主要事業所と一致する法人 (税金) 住所を持つ — アカウントの請求先住所がパートナープロファイルの本社所在地になります。主な事業所に一致する請求先住所を持つアカウントを選択します。

アカウントは次のものであってはなりません。

  • コード開発とテスト用のデベロッパーアカウントまたはサンドボックスアカウント

  • 個々の学習またはプロジェクトの個人アカウント

  • アカウントのテスト

選択しないことをお勧めします。

  • AWS Organizations の管理 (またはプライマリ支払者) アカウント

AWS パートナーシナリオ AWS アカウントオプション 考慮事項

シナリオ 1: サードパーティーが管理する AWS アカウントを所有しており、 AWS Marketplace 販売者として登録されていない (複数可)

AWS AWS ディストリビューターパートナーと連携するパートナー

オプション 1: アカウントを作成して AWS リンクします。

オプション 2: 既存の AWS アカウントへのリンク

オプション 1:

  • このアカウントに APN 料金を請求することは可能ですか? アカウントが AWS Organization にある場合、 AWS 管理アカウントは料金を支払います。

  • これは、 AWS パートナーネットワークの機能と APIs?

オプション 2:

  • オプション 1 と同じ考慮事項

  • これは AWS 管理アカウント、本番稼働用アカウント、開発者アカウント、または個人アカウントですか?

  • AWS Partner Central のエンゲージメントを管理するアカウントへのアクセスを外部担当者に許可できますか?

  • このアカウントは Partner Central ユーザーアクセスの管理に適していますか?

シナリオ 2: AWS アカウントを所有しており、 AWS Marketplace 販売者として登録されていない (複数可)

AWS を通じて取引しないパートナー AWS Marketplace 、または AWS Marketplace が利用できない国のパートナー

シナリオ 1 と同じ

シナリオ 1 と同じ

シナリオ 3: AWS アカウントを所有し、単一の Marketplace AWS Marketplace 販売者アカウントを持つ販売者として登録されている (複数可)

AWS 単一の国で統合された製品出品を行っているパートナー、またはグローバルに事業を行っているパートナー

オプション 1: 新しい AWS アカウントを作成してリンクする

オプション 2: 既存の AWS アカウントへのリンク

オプション 3: AWS Marketplace 販売者アカウントへのリンク

オプション 1:

  • リンクされた Marketplace 販売者アカウントを必要とする AWS Marketplace 機能にアクセスする必要がありますか?

  • AWS ISV Accelerate Program に参加する予定ですか? プログラムの要件を参照してください。

  • 機会、オファー、ソリューション、製品リストなどの AWS Partner Central および Marketplace リソースを共有する必要がありますか?

  • 製品出品または取引が最も多い AWS Marketplace 販売者アカウントを主要な Marketplace 販売者アカウントとして指定することをお勧めしますか?

  • このアカウントに APN 料金を請求することは可能ですか?

オプション 2:

  • オプション 1 と同じ考慮事項

  • これは AWS 管理アカウント、本番稼働用アカウント、開発者アカウント、または個人アカウントですか?

  • このアカウントは Partner Central ユーザーアクセスの管理に適していますか?

オプション 3:

  • オプション 1 および 2 と同じ考慮事項

  • 追加の AWS Marketplace 販売者アカウントを作成する予定ですか? その場合、現在の Marketplace 販売者アカウントを主要な Marketplace 販売者アカウントとして指定することは可能ですか?

シナリオ 4: AWS アカウントを所有し、複数の AWS Marketplace 販売者アカウントを持つ販売者として登録されている (複数可)

AWS 異なる事業部門に複数の製品出品がある、または規制とコンプライアンスの要件を満たす必要があるパートナー

シナリオ 3 と同じ

シナリオ 3 と同じ

IAM アクセス許可の付与

このセクションに記載されている IAM ポリシーは、AWS Partner Central ユーザーにリンクされた AWS アカウントへの制限付きアクセスを付与します。アクセスのレベルは、ユーザーに割り当てられた IAM ロールによって異なります。アクセス許可レベルの詳細については、このトピックのロールのアクセス許可について後半の「」を参照してください。

ポリシーを作成するには、環境を担当する AWS IT 管理者である必要があります。完了したら、IAM ユーザーまたはロールにポリシーを割り当てる必要があります。

このセクションのステップでは、IAM コンソールを使用してポリシーを作成する方法について説明します。

注記

提携リードまたはクラウド管理者で、 AWS 管理者権限を持つ IAM ユーザーまたはロールが既にある場合は、「」に進みますAWS Partner Central と AWS アカウントのリンク

ポリシーを作成するには

  1. IAM コンソールにサインインします。

  2. [アクセス管理] で、[ポリシー] を選択します。

  3. ポリシーの作成を選択し、JSON を選択し、次のポリシーを追加します。

    JSON
    {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Sid": "CreatePartnerCentralRoles",
            "Effect": "Allow",
            "Action": [
                "iam:CreateRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
                "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*"
            ]
        },
        {
            "Sid": "AttachPolicyToPartnerCentralCloudAdminRole",
            "Effect": "Allow",
            "Action": "iam:AttachRolePolicy",
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForCloudAdmin*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/PartnerCentralAccountManagementUserRoleAssociation",
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAce*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralOpportunityManagement",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerOfferManagement"
                    ]
                }
            }
        },
        {
            "Sid": "AttachPolicyToPartnerCentralAllianceRole",
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/PartnerCentralRoleForAlliance*",
            "Condition": {
                "ArnLike": {
                    "iam:PolicyARN": [
                        "arn:aws:iam::*:policy/AWSPartnerCentralFullAccess",
                        "arn:aws:iam::*:policy/AWSMarketplaceSellerFullAccess"
                    ]
                }
            }
        },
        {
            "Sid": "AssociatePartnerAccount",
            "Effect": "Allow",
            "Action": [
                "partnercentral-account-management:AssociatePartnerAccount"
            ],
            "Resource": "*"
        },
        {
            "Sid": "SellerRegistration",
            "Effect": "Allow",
            "Action": [
                "aws-marketplace:ListChangeSets",
                "aws-marketplace:DescribeChangeSet",
                "aws-marketplace:StartChangeSet",
                "aws-marketplace:ListEntities",
                "aws-marketplace:DescribeEntity"
            ],
            "Resource": "*"
        }
    ]
}

  4. [次へ] を選択します。

  5. ポリシーの詳細「ポリシー名」ボックスに、ポリシーの名前とオプションの説明を入力します。

  6. ポリシーのアクセス許可を確認し、必要に応じてタグを追加してから、ポリシーの作成を選択します。

  7. IAM ユーザーまたはロールをポリシーにアタッチします。アタッチの詳細については、IAM ユーザーガイドの「IAM ID アクセス許可の追加 (コンソール)」を参照してください。

ロールのアクセス許可について

IT 管理者が前のセクションのステップを完了すると、AWS Partner Central の提携リーダーなどはセキュリティポリシーを割り当て、ユーザーロールをマッピングできます。次の表は、アカウントのリンク中に作成された標準ロールと、各ロールで使用できるタスクの一覧と説明です。

標準 IAM ロール AWS 使用される Partner Central 管理ポリシー できる できない
クラウド管理者

  • AWS Partner Central ユーザーに IAM ロールをマッピングして割り当てます。

  • 提携チームや ACE チームと同じタスクを完了します。
アライアンスチーム

  • 管理ポータルを含む AWS Marketplace、 のすべての販売者オペレーションへの AWS Marketplace フルアクセス。AMI ベースの製品で使用される Amazon EC2 AMI を管理することもできます。

  • AWS カスタマーエンゲージメントの機会と AWS Marketplace のプライベートオファーをリンクします。

  • APN ソリューションを AWS Marketplace 製品リストに関連付けます。

  • Partner Analytics ダッシュボードにアクセスします。

 AWS Partner Central ユーザーに IAM ロールをマッピングまたは割り当てます。提携リードとクラウド管理者のみがロールをマッピングまたは割り当てます。
ACE チーム

  • AWS Marketplace プライベートオファーを作成します。

  • AWS カスタマーエンゲージメントの機会と AWS Marketplace のプライベートオファーをリンクします。

  • AWS Partner Central ユーザーに IAM ロールをマッピングまたは割り当てます。ロールをマッピングまたは割り当てることができるのは、提携リードとクラウド管理者のみです。

  • すべての AWS Marketplace ツールと機能を使用します。

  • Partners Analytics ダッシュボードを使用します。

シングルサインオンのアクセス許可セットの作成

次の手順では、IAM Identity Center を使用して、AWS Partner Central にアクセスするためのシングルサインオンを有効にするアクセス許可セットを作成する方法について説明します。

アクセス許可セットの詳細については、AWS 「IAM Identity Center ユーザーガイド」の「アクセス許可セットの作成」を参照してください。

  1. IAM アイデンティティセンターコンソールにサインインします。

  2. [マルチアカウント権限] で、[権限セット] を選択します。

  3. [Create permission set] (アクセス許可セットの作成) を選択します。

  4. アクセス許可セットタイプの選択ページで、アクセス許可セットタイプでカスタムアクセス許可セットを選択し、次を選択します。

  5. 以下の操作を実行します。

    1. ポリシーとアクセス許可の境界を指定ページで、アクセス許可セットに適用する IAM ポリシーのタイプを選択します。

      デフォルトでは、最大 10 の管理 AWS ポリシーとカスタマー管理ポリシーの任意の組み合わせをアクセス許可セットに追加できます。IAM はこのクォータを設定します。これを行うには、アクセス許可セットを割り当てる各 AWS アカウントの Service Quotas コンソールで、IAM ロールにアタッチされた IAM クォータ管理ポリシーの引き上げをリクエストします。

    2. [インラインポリシー] を展開して、カスタム JSON 形式のポリシーテキストを追加します。インラインポリシーは既存の IAM リソースに対応していません。インラインポリシーを作成するには、表示されたフォームにカスタムポリシー言語を入力します。IAM Identity Center は、メンバーアカウントに作成した IAM リソースにポリシーを追加します。詳細については、「インラインポリシー」を参照してください。

    3. AWS Partner Central および AWS Account Linking の前提条件から JSON ポリシーをコピーして貼り付ける

  6. [権限セットの詳細指定] ページで、以下を実行します。

    1. [権限セット名] に、IAM Identity Center でこの権限セットを識別するための名前を入力します。このアクセス許可セットに指定した名前は、利用可能なロールとして AWS アクセスポータルに表示されます。ユーザーは AWS アクセスポータルにサインインし、 AWS アカウントを選択し、ロールを選択します。

    2. (オプション) 説明を入力することもできます。説明は、 AWS アクセスポータルではなく、IAM Identity Center コンソールにのみ表示されます。

    3. (オプション) Session duration (セッション期間) の値を指定します。この値は、コンソールがユーザーをセッションからログアウトさせるまでのログオン時間の長さを決定します。詳細については、AWS 「アカウントのセッション期間を設定する」を参照してください。

    4. (オプション) Relay state (リレーステート) の値を指定します。この値は、フェデレーションプロセスにおいて、アカウント内のユーザーをリダイレクトするために使用されます。詳細については、AWS 「マネジメントコンソールにすばやくアクセスするためのリレー状態の設定」を参照してください。

      注記

      リレー状態には AWS マネジメントコンソール URL を使用する必要があります。例: https://console.aws.amazon.com/ec2/

    5. [タグ (オプション)] を拡張して [タグの追加] を選択し、[キー][値 (オプション)] () の値を指定します。

      タグの詳細については、「IAM Identity Center AWS リソースのタグ付け」を参照してください。

    6. [次へ] を選択します。

  7. [確認と作成] ページで、選択した内容を確認し、[作成] を選択します。

    デフォルトでは、アクセス許可セットを作成すると、アクセス許可セットはプロビジョニングされません (どの AWS アカウントでも使用されます)。 AWS アカウントでアクセス許可セットをプロビジョニングするには、アカウントのユーザーとグループに IAM Identity Center アクセスを割り当て、それらのユーザーとグループにアクセス許可セットを適用する必要があります。詳細については、AWS IAM Identity Center ユーザーガイドAWS 「アカウントへのユーザーアクセスの割り当て」を参照してください。