翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# ポートフォリオの管理
ポートフォリオの作成、表示、および更新は、 AWS Service Catalog 管理者コンソールの [**ポートフォリオ**] ページで行います。
**Topics**
+ [ポートフォリオの作成、表示、削除](#portfoliomgmt-menu)
+ [ポートフォリオの詳細の表示](#portfoliomgmt-portdetails)
+ [ポートフォリオの作成と削除](portfoliomgmt-create.md)
+ [製品の追加](portfoliomgmt-products.md)
+ [制約の追加](portfoliomgmt-constraints.md)
+ [ユーザーへのアクセス権限の付与](catalogs_portfolios_users.md)
+ [ポートフォリオの共有](catalogs_portfolios_sharing_how-to-share.md)
+ [ポートフォリオの共有とインポート](catalogs_portfolios_sharing.md)
## ポートフォリオの作成、表示、削除
[**ポートフォリオ**] ページには、現在のリージョンで作成したポートフォリオのリストが表示されます。このページを使用して、新しいポートフォリオの作成、ポートフォリオの詳細の表示、またはアカウントからのポートフォリオの削除を行います。
**[**ポートフォリオ**] ページを表示するには**
1. Service Catalog コンソール ([https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)) を開きます。
1. 必要に応じて、別のリージョンを選択します。
1. を初めて使用する場合は AWS Service Catalog、 AWS Service Catalog 開始ページが表示されます。[**Get started**] を選択してポートフォリオを作成します。最初のポートフォリオを作成する手順に従い、[**ポートフォリオ**] ページに進みます。
の使用中は AWS Service Catalog、いつでも**ポートフォリオ**ページに戻り、ナビゲーションバーで **Service Catalog** を選択し、ポートフォリオを選択します****。
## ポートフォリオの詳細の表示
AWS Service Catalog 管理者コンソールで、**ポートフォリオの詳細**ページにポートフォリオの設定が一覧表示されます。このページを使用してポートフォリオの製品を管理し、製品へのアクセス権をユーザーに付与して、TagOptions と制約を適用します。
****[ポートフォリオの詳細]** ページを表示するには**
1. Service Catalog コンソール ([https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)) を開きます。
1. 管理するポートフォリオを選択します。
# ポートフォリオの作成と削除
[**ポートフォリオ**] ページを使用して、ポートフォリオを作成し、削除します。
**新しいポートフォリオを作成するには:**
1. 左側のナビゲーションメニューから [**ポートフォリオ**] を選択します。
1. [**ポートフォリオの作成**] を選択します。
1. [**ポートフォリオの作成**] ページで、必要情報を入力します。
1. **Create.** AWS Service Catalog creates を選択します。ポートフォリオを作成し、ポートフォリオの詳細を表示します。
**ポートフォリオを削除するには**
**注記**
削除できるのはローカルポートフォリオのみです。インポートされた (共有) ポートフォリオは削除できますが、インポートされたポートフォリオは削除できません。
ポートフォリオを削除する前に、そのすべての製品、制約、グループ、ロール、ユーザー、共有、および TagOptions を削除する必要があります。そのためには、ポートフォリオを開いて [**ポートフォリオの詳細**] を表示します。次に、タブを選択して削除します。
**注記**
エラーを回避するには、商品を削除する前にポートフォリオから制約を削除します。
1. 左側のナビゲーションメニューから [**ポートフォリオ**] を選択します。
1. 削除したいポートフォリオを選択します。
1. **[削除]** を選択します。削除できるのはローカルポートフォリオのみです。インポートされた (共有) ポートフォリオを削除しようとすると、**アクション**メニューは使用できません。
1. 確認ウィンドウで、[**Delete**] を選択します。
# 製品の追加
ポートフォリオに製品を追加するには、新しい製品を既存のポートフォリオに直接アップロードするか、カタログの既存の製品をポートフォリオに関連付けることができます。
**注記**
AWS Service Catalog 製品を作成するときは、 CloudFormation テンプレートまたは Terraform 設定ファイルをアップロードできます。 CloudFormation テンプレートは Amazon Simple Storage Service (Amazon S3) バケットに保存され、バケット名は***「cf-templates-***」で始まります。また、製品をプロビジョニングするときには、追加のバケットからオブジェクトを取得する権限も必要です。詳細については、「[製品の作成](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/productmgmt-cloudresource.html#productmgmt-cloudresource-troubleshooting)」を参照してください。
## 新しい製品の追加
**ポートフォリオの詳細** ページから新しい製品を直接追加します。このページから製品を作成すると、 は現在選択されているポートフォリオ AWS Service Catalog に追加します。
**新しい製品を追加するには**
1. [**ポートフォリオ**] ページに移動し、製品を追加するポートフォリオの名前を選択します。
1. **[ポートフォリオの詳細]** ページで、**[製品]** セクションを展開し、**[新しい製品のアップロード]** を選択します。
1. **[製品の詳細を入力]** に、以下のように入力します。
+ **[製品名]** – 製品の名前。
+ **[製品説明]** (オプション) — 製品説明。この説明は、正しい製品を選択するのに役立つように、製品リストに表示されます。
+ [**説明**] - 詳細な説明。この説明は、正しい製品を選択するのに役立つように、製品リストに表示されます。
+ **所有者またはディストリビューター** — 所有者の名前またはメールアドレス。ディストリビューターの連絡先情報は任意です。
+ [**ベンダー**] (オプション) - アプリケーションの発行元の名前。このフィールドを使用すると、製品リストを並べ替えて、製品を見つけやすくすることができます。
1. **[バージョンの詳細]** ページに、以下のように入力します。
+ **テンプレートの選択** – CloudFormation 製品の場合は、独自のテンプレートファイル、ローカルドライブの CloudFormation テンプレート、または Amazon S3 に保存されているテンプレートを指す URL、既存の CloudFormation スタック ARN テンプレート、または外部リポジトリに保存されているテンプレートファイルを選択します。
Teraform 製品では、独自のテンプレートファイル、ローカルドライブからの tar.gz 設定ファイル、Amazon S3 に保存されたテンプレートを指す URL、または外部リポジトリに保存された tar.gz 設定ファイルを選択します。
+ **バージョン名** (オプション) – 製品バージョンの名前 (例: 「v1」、「v2beta」)。スペースは使用できません。
+ [**説明**] (オプション) - このバージョンと前のバージョンとの違いを含む、製品バージョンの説明。
1. [** Enter support details**] に、以下のように入力します。
+ **[メール連絡先]** (オプション) - 製品の問題を報告するためのメールアドレス。
+ **[サポートリンク]** (オプション) - ユーザーがサポート情報またはファイルチケットを見つけることができるサイトの URL。URL は `http://`、または `https://` で始まる必要があります。管理者は、サポート情報の正確性とアクセスを維持する責任があります。
+ **[サポートの説明]** (オプション) - ユーザーが **[メール連絡先]** および **[サポートリンク]** を使用する方法の説明。
1. **[製品の作成]** を選択します。
## 既存の製品の追加
**[ポートフォリオ]** リスト、**[ポートフォリオの詳細]** ページ、または **[製品リスト]** のページの 3 つの場所から既存の製品をポートフォリオに追加できます。
**既存の製品をポートフォリオに追加するには**
1. [**ポートフォリオ**] ページに移動します。
1. ポートフォリオを選択します。次に **[アクション]** - **[ポートフォリオに製品を追加]** を選択します。
1. 製品を選択し、[**製品をポートフォリオへ追加**] を選択します。
## ポートフォリオからの製品の削除
ユーザーが製品を使用しないようにする場合は、ポートフォリオからその製品を削除します。製品は、[**製品**] ページからカタログでまだ使用でき、他のポートフォリオに追加できます。ポートフォリオから複数の製品を一度に削除できます。
**ポートフォリオから製品を削除するには**
1. [**ポートフォリオ**] ページに移動し、製品を含むポートフォリオを選択します。**[ポートフォリオの詳細]** ページが開きます。
1. [**製品**] セクションを展開します。
1. 1 つ以上の製品を選択し、**[削除]** を選択します。
1. 選択内容を確認します。
# 制約の追加
制約を追加して、ユーザーがどのように製品を使用するかを制御する必要があります。が AWS Service Catalog サポートする制約のタイプの詳細については、「」を参照してください[AWS Service Catalog 制約の使用](constraints.md)。
製品に制約を追加するのは、ポートフォリオに配置された後です。
**製品に制約を追加するには**
1. Service Catalog コンソール ([https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)) を開きます。
1. [**ポートフォリオ**] を選択し、ポートフォリオを選びます。
1. [ポートフォリオの詳細] ページで、**[制約の作成]** セクションを展開し、**[制約の追加]** を選択します。
1. [**製品**] で、制約事項を適用する製品を選択します。
1. [**制約タイプ**] で、次のいずれかのオプションを選択します。
**起動** — AWS リソースのプロビジョニングに使用される製品に IAM ロールを割り当てることができます。詳細については、「[AWS Service Catalog 起動の制限](constraints-launch.md)」を参照してください。
**[通知]** — 製品通知を Amazon SNS トピックにストリーミングできます。詳細については、「[AWS Service Catalog 通知の制限](constraints-notification.md)」を参照してください。
**テンプレート** – エンドユーザーが製品を起動するときに利用できるオプションを制限できます。テンプレートは、1 つ以上のルールを含む JSON 形式のテキストファイルで構成されます。ルールは、製品で使用される CloudFormation テンプレートに追加されます。詳細については、「[テンプレート制約のルール](reference-template_constraint_rules.md)」を参照してください。
**スタックセット** – CloudFormation StackSets を使用して、アカウントとリージョン間で製品のデプロイを設定できます。詳細については、「[AWS Service Catalog スタックセットの制限](constraints-stackset.md)」を参照してください。
[**タグの更新**] - 製品がプロビジョニングされた後にタグを更新できます。詳細については、「[AWS Service Catalog タグ更新の制約](https://docs.aws.amazon.com/servicecatalog/latest/adminguide/constraints-resourceupdate.html)」を参照してください。
1. [**続行**] を選択し、必要な情報を入力します。
**制約を編集するには**
1. にサインイン AWS マネジメントコンソール し、[https://console.aws.amazon.com/catalog/](https://console.aws.amazon.com/catalog/) で AWS Service Catalog 管理者コンソールを開きます。
1. [**ポートフォリオ**] を選択し、ポートフォリオを選びます。
1. 「**ポートフォリオの詳細**」ページで、「**制約の作成**」セクションを展開し、編集する制約を選択します。
1. [**制約の編集**] を選択します。
1. 必要に応じて制約を編集し、**[保存]** を選択します。
# ユーザーへのアクセス権限の付与
グループまたはロールを通じてユーザーにポートフォリオへのアクセスを許可します。多くのユーザーにポートフォリオのアクセス権限を付与する最善の方法は、ユーザーを IAM グループに配置し、そのグループへのアクセス権限を付与することです。それにより、グループからユーザーを簡単に追加および削除して、ポートフォリオアクセスを管理することができます。詳細については、IAM ユーザーガイドの「[IAM ユーザーとグループ](https://docs.aws.amazon.com/IAM/latest/UserGuide/Using_WorkingWithGroupsAndUsers.html)」を参照してください。
ポートフォリオへのアクセスに加えて、ユーザーは AWS Service Catalog エンドユーザーコンソールにもアクセスできる必要があります。IAM でアクセス権限を適用することにより、コンソールへのアクセス権限を付与します。詳細については、「[での Identity and Access Management AWS Service Catalog](controlling_access.md)」を参照してください。
ポートフォリオとそのプリンシパルを他のアカウントと共有したい場合は、プリンシパル名 (グループ、ロール、ユーザー) をポートフォリオに関連付けることができます。プリンシパル名はポートフォリオと共有され、エンドユーザーにアクセス権を付与するために受信者アカウントで使用されます。
**ユーザーまたはグループにポートフォリオのアクセス権限を付与するには**
1. Service Catalog コンソール ([https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)) を開きます。
1. ナビゲーションペインから **[管理]** を選択し、**[ポートフォリオ]** を選択します。
1. グループ、ロール、またはユーザーにアクセス権を付与するポートフォリオを選択します。**ポートフォリオの詳細**ページ AWS Service Catalog に移動します。
1. **[ポートフォリオの詳細]** ページで、**[アクセス]** タブを選択します。
1. **[ポートフォリオアクセス]** で、**[アクセス権の付与]** を選択します。
1. **[タイプ]** で **[プリンシパル名]** を選択し、**[グループ/]**、**[ロール/]**、または **[ユーザー/]** タイプを選択します。最大 9 個のプリンシパル名まで追加できます。
1. **[アクセス権の付与]** を選択すると、プリンシパルが現在のポートフォリオに関連付けられます。
**ポートフォリオへのアクセス権限を削除するには**
1. **[ポートフォリオの詳細]** ページで、グループ、ロール、ユーザー名を選択します。
1. **[アクセス権の削除]** を選択します。
# ポートフォリオの共有
別の AWS アカウントの AWS Service Catalog 管理者が製品をエンドユーザーに配信できるようにするには、account-to-account共有または を使用して AWS Service Catalog ポートフォリオを共有します AWS Organizations。
アカウント間共有または Organizations を使用してポートフォリオを共有する場合、そのポートフォリオの*リファレンス*を共有することになります。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。
受信者は、製品または制約を変更することはできませんが、エンドユーザーの ( AWS Identity and Access Management ) アクセス権を追加できます。
**注記**
共有リソースを共有することはできません。これには、共有製品を含むポートフォリオが含まれます。
## アカウント間共有
これらのステップを完了するには、ターゲットアカウントの AWS アカウント ID を取得する必要があります。ID は、ターゲット**アカウントの のマイ**アカウントページで確認できます。 AWS マネジメントコンソール
**ポートフォリオを AWS アカウントと共有するには**
1. Service Catalog コンソール ([https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/)) を開きます。
1. 左側のナビゲーションメニューで、[**ポートフォリオ**] を選択し、共有するポートフォリオを選択します。**[アクション]** メニューで **[共有]** を選択します。
1. **Enter account ID** に、共有している AWS アカウントのアカウント ID を入力します。(オプション) [[TagOption の共有]](#tagoptions-share) を選択します。次に、[**共有**] を選択します。
1. ターゲットアカウントの AWS Service Catalog 管理者に URL を送信します。URL では、共有ポートフォリオの ARN が自動的に提供されて [**ポートフォリオのインポート**] ページが開きます。
### ポートフォリオのインポート
別の AWS アカウントの AWS Service Catalog 管理者がポートフォリオを共有している場合は、そのポートフォリオをアカウントにインポートして、その製品をエンドユーザーに配布できるようにします。
ポートフォリオが共有されている場合は、ポートフォリオをインポートする必要はありません AWS Organizations。
ポートフォリオをインポートするには、管理者からポートフォリオ ID を取得する必要があります。
インポートされたすべてのポートフォリオを表示するには、[https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/) で AWS Service Catalog コンソールを開きます。**[ポートフォリオ]** ページで、**[インポート済み]** タブを選択します。「**インポートされたポートフォリオ**」テーブルを確認します。
## との共有 AWS Organizations
を使用して AWS Service Catalog ポートフォリオを共有できます AWS Organizations。
まず、管理アカウントから共有するか、委任管理者アカウントから共有するかを決定する必要があります。管理アカウントから共有しない場合は、委任管理者アカウントを登録し、共有に使用してください。詳細については、CloudFormation ユーザーガイドの[委任された管理者の登録](https://docs.aws.amazon.com/AWSCloudFormation/latest/UserGuide/stacksets-orgs-delegated-admin.html)を参照してください。
次に、共有する相手を決定する必要があります。次のエンティティと共有できます。
+ 組織アカウント。
+ 部門単位 (OU)。
+ 組織そのもの。(これは、組織内のすべてのアカウントと共有されます)。
### 管理アカウントからの共有
組織構造を使用するか、組織ノードの ID を入力するときに、ポートフォリオを組織と共有できます。
****組織構造を使用してポートフォリオを組織と共有するには****
1. [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/) で AWS Service Catalog コンソールを開きます。
1. **[ポートフォリオ]** ページで、共有するポートフォリオを選択します。**[アクション]** メニューで **[共有]** を選択します。
1. **AWS Organizations** を選択して組織構造に絞り込みます。
ルートノードを選択して、ポートフォリオを組織全体、親組織単位 (OU)、子 OU、または組織内の AWS アカウントと共有できます。
親 OU に共有すると、その親 OU 内のすべてのアカウントおよび子 OU にポートフォリオが共有されます。
** AWS アカウントの表示を選択して**、組織内のすべての AWS アカウントのリストのみを表示できます。
****組織ノードの ID を入力して、ポートフォリオを組織と共有するには****
1. [https://console.aws.amazon.com/servicecatalog/](https://console.aws.amazon.com/servicecatalog/) で AWS Service Catalog コンソールを開きます。
1. **[ポートフォリオ]** ページで、共有するポートフォリオを選択します。**[アクション]** メニューで **[共有]** を選択します。
1. [**組織ノード**] を選択します。
組織全体、OU、または組織内の AWS アカウントと共有するかどうかを選択します。
選択した組織ノードの ID を入力します。このノードは、 AWS Organizations コンソール ([https://console.aws.amazon.com/organizations/](https://console.aws.amazon.com/organizations/)) で確認できます。
### 委任管理者アカウントからの共有
組織の管理アカウントは、他のアカウントを組織の委任管理者として登録および登録解除できます。
委任管理者は、管理アカウントと同じ方法で組織内の AWS Service Catalog リソースを共有できます。ポートフォリオの作成、削除、共有などが許可されます。
委任管理者を登録または登録解除するには、マスターアカウントから API または CLI を使用する必要があります。詳細については、AWS Organizations API リファレンスの [RegisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_RegisterDelegatedAdministrator.html) および [DeregisterDelegatedAdministrator](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DeregisterDelegatedAdministrator.html) を参照してください。
**注記**
管理者を委任する前に、管理者は、[https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html](https://docs.aws.amazon.com/servicecatalog/latest/dg/API_EnableAWSOrganizationsAccess.html) を呼び出す必要があります。
委任管理者アカウントからポートフォリオを共有する手順は、前述の「[管理アカウントからの共有](#sharing-from-master)」で説明したように、マスターアカウントからの共有と同じです。
メンバーが委任管理者として登録解除されると、次のようになります。
+ そのアカウントから作成されたポートフォリオ共有は削除されます。
+ 新しいポートフォリオ共有を作成することはできません。
**注記**
委任管理者が登録解除された後に、委任管理者によって作成されたポートフォリオと共有が削除されない場合は、委任管理者を再度登録して登録解除します。このアクションにより、そのアカウントで作成されたポートフォリオと共有が削除されます。
### 組織内のアカウントの移動
組織内でアカウントを移動すると、アカウントと共有されている AWS Service Catalog ポートフォリオが変更される可能性があります。
アカウントは、対象の組織または組織部門と共有されているポートフォリオにのみアクセスできます。
## ポートフォリオを共有する際の TagOptions の共有
管理者は、TagOptions を含む共有を作成できます。TagOptions は、管理者が次のことを可能にするキーと値のペアです。
+ タグの分類を定義し、適用します。
+ タグオプションを定義し、製品やポートフォリオに関連付けます。
+ ポートフォリオおよび製品に関連するタグオプションを他のアカウントと共有します。
メインアカウントでタグオプションを追加または削除すると、変更は自動的に受信者アカウントに表示されます。受信者アカウントでは、エンドユーザーが TagOptions を使用して製品をプロビジョニングする場合、プロビジョニング済み製品のタグになるタグの値を選択する必要があります。
受信者アカウントでは、管理者はインポートされたポートフォリオに追加のローカル TagOptions を関連付けて、そのアカウントに固有のタグ付けルールを適用できます。
**注記**
ポートフォリオを共有するには、コンシューマーの AWS アカウント ID が必要です。コンソールのマイ AWS アカウントでアカウント ID を見つけます。 ****
**注記**
TagOption に 1 つの値がある場合、 はプロビジョニングプロセス中にその値 AWS を自動的に適用します。
**ポートフォリオを共有する際に TagOptions を共有するには**
1. 左側のナビゲーションメニューから [**ポートフォリオ**] を選択します。
1. [**ローカルポートフォリオ**] で、ポートフォリオを選択し、開きます。
1. 上部のリストから [**共有**] を選択し、[**共有**] ボタンを選択します。
1. 別の AWS アカウントまたは組織と共有することを選択します。
1. 12 桁のアカウント ID 番号を入力し、[**有効化**] を選択してから、[**共有**] を選択します。
共有したアカウントは、[**共有したアカウント**] セクションに表示されます。TagOptions が有効になっているかどうかを示します。
また、ポートフォリオ共有を更新して TagOptions を含めることもできます。ポートフォリオおよび製品に属するすべての TagOptions がこのアカウントと共有されるようになりました。
**ポートフォリオ共有を更新して TagOptions を含めるには**
1. 左側のナビゲーションメニューから [**ポートフォリオ**] を選択します。
1. [**ローカルポートフォリオ**] で、ポートフォリオを選択し、開きます。
1. 上部のリストから [**共有**] を選択します。
1. [**共有したアカウント**] で、アカウント ID を選択してから、[**アクション**] を選択します。
1. [**Update unshare**] または [**Unshare**] を選択します。
[**Update unshare**] を選択した場合、[**有効化**] をクリックして TagOptions の共有を開始します。共有したアカウントは、[**共有したアカウント**] セクションに表示されます。
[**Unshare**] を選択した場合、アカウントを共有する必要がなくなったことを確認します。
## ポートフォリオを共有する際のプリンシパル名の共有
管理者は、プリンシパル名を含むポートフォリオ共有を作成できます。プリンシパル名は、管理者がポートフォリオで指定してポートフォリオと共有できるグループ、ロール、ユーザーの名前です。ポートフォリオを共有すると、 AWS Service Catalog はそれらのプリンシパル名がすでに存在するかどうかを確認します。存在する場合、 は一致する IAM プリンシパルを共有ポートフォリオ AWS Service Catalog に自動的に関連付けて、ユーザーにアクセス権を付与します。
**注記**
プリンシパルをポートフォリオに関連付けると、そのポートフォリオが他のアカウントと共有されたときに、権限昇格の過程が生じる可能性があります。 AWS Service Catalog 管理者*ではない*が、プリンシパル (ユーザー/ロール) を作成できる受信者アカウントのユーザーの場合、そのユーザーはポートフォリオのプリンシパル名の関連付けに一致する IAM プリンシパルを作成できます。このユーザーは、どのプリンシパル名が関連付けられているかわからない場合がありますが AWS Service Catalog、ユーザーを推測できる場合があります。この潜在的なエスカレーションパスが懸念される場合、 は `PrincipalType`として を使用する AWS Service Catalog ことをお勧めします`IAM`。この設定では、`PrincipalARN` が既に受信者アカウントに存在していなければ関連付けることはできません。
メインアカウントでプリンシパル名を追加または削除すると、 はそれらの変更を受信者アカウント AWS Service Catalog に自動的に適用します。受信者アカウントのユーザーは、その役割に基づいてタスクを実行できます。
+ **エンドユーザー** はポートフォリオの製品をプロビジョニング、更新、終了できます。
+ **管理者** は、インポートされたポートフォリオに追加の IAM プリンシパルを関連付けて、そのアカウントに固有のエンドユーザーにアクセス権を付与できます。
**注記**
プリンシパル名共有は でのみ使用できます AWS Organizations。
**ポートフォリオを共有する際にプリンシパル名を共有するには**
1. 左側のナビゲーションメニューから [**ポートフォリオ**] を選択します。
1. **ローカルポートフォリオ**で、共有したいポートフォリオを選択します。
1. **[アクション]** メニューで **[共有]** を選択します。
1. AWS Organizations内の組織を選択します。
1. **[組織ルート全体]**、**[組織ユニット (OU)]**、または **[組織メンバー]** を選択します。
1. **[共有]** 設定で、**[プリンシパルの共有]** オプションを有効にします。
また、ポートフォリオ共有を更新して、プリンシパル名の共有を含めることもできます。これにより、そのポートフォリオに属するすべてのプリンシパル名が受信者アカウントと共有されます。
**ポートフォリオ共有を更新して、プリンシパル名を有効または無効にするには**
1. 左側のナビゲーションメニューから [**ポートフォリオ**] を選択します。
1. **[ローカルポートフォリオ]** で、更新するポートフォリオを選択します。
1. **[共有]** タブを選択します。
1. 更新する共有を選択し、**[共有]** を選択します。
1. **「共有の更新**」を選択し、**「プリン**シパル共有の開始を有効にする」を選択します。 AWS Service Catalog その後、 は受信者アカウントでプリンシパル名を共有します。
受信者アカウントとのプリンシパル名の共有を停止したい場合は、プリンシパル共有を **[無効]** にします。
### プリンシパル名を共有する場合はワイルドカードを使用する
AWS Service Catalog は、「\$1」や「?」などのワイルドカードを持つ IAM プリンシパル (ユーザー、グループ、またはロール) 名へのポートフォリオアクセスの付与をサポートしています。ワイルドカードパターンを使用すると、複数の IAM プリンシパル名を一度に扱うことができます。ARN パスとプリンシパル名には、無制限のワイルドカード文字を使用できます。
**許容できる**ワイルドカード ARN の例:
+ **arn:aws:iam:::role/ResourceName\$1\$1**
+ **arn:aws:iam:::role/\$1/ResourceName\$1?**
**許容できない**ワイルドカード ARN の例:
+ **arn:aws:iam:::\$1/ResourceName**
IAM プリンシパル ARN 形式 (**arn:partition:iam:::resource-type/resource-path/resource-name**) では、有効な値には **user/**、**group/**、または **role/** が含まれます。「?」 「\$1」と「\$1」は、resource-id セグメントのリソースタイプの後にのみ使用できます。特殊文字はリソース ID 内のどこでも使用できます。
「\$1」文字は「/」文字とも一致するため、リソース ID 内 にパスを作成できます。例えば、次のようになります。
**arn:aws:iam:::role/**\$1**/ResourceName\$1?** は **arn:aws:iam:::role/pathA/pathB/ResourceName\$11** と **arn:aws:iam:::role/pathA/ResourceName\$11** の両方に一致します。
# ポートフォリオの共有とインポート
他の組織に属しているユーザーや組織 AWS アカウント 内の他の組織に属しているユーザーなど AWS アカウント、 に属していないユーザーが AWS Service Catalog 製品を利用できるようにするには、ポートフォリオを共有します。共有は、アカウント間共有、組織共有、スタックセットを使用したカタログのデプロイなど、いくつかの方法で実行できます。
製品とポートフォリオを他のアカウントと共有する前に、カタログの参照を共有するか、カタログのコピーを各受信者アカウントにデプロイするかを決定する必要があります。コピーをデプロイする場合、受信者アカウントに反映する更新が発生したら再デプロイする必要があります。
スタックセットを使用して、同時に複数のアカウントにカタログをデプロイできます。参照 (元のバージョンとの同期が維持されるポートフォリオのインポートバージョン) を共有する場合、アカウント間共有を使用するか、 AWS Organizationsを使用して共有することができます。
スタックセットを使用してカタログのコピーをデプロイするには、[「会社の標準 AWS Service Catalog 製品のマルチリージョン、マルチアカウントカタログを設定する方法](https://aws.amazon.com/blogs/mt/how-to-set-up-a-multi-region-multi-account-catalog-of-company-standard-aws-service-catalog-products/)」を参照してください。
account-to-account共有または を使用してポートフォリオを共有する場合 AWS Organizations、別の AWS アカウントの管理者がポートフォリオを自分のアカウントにインポートし、そのアカウントのエンドユーザーに製品を配布することを許可 AWS Service Catalog します。
このインポートされたポートフォリオは独立コピーではありません。インポートされたポートフォリオの製品と制約は、共有した元のポートフォリオである共有ポートフォリオに対して行う変更と同期が維持されます。ポートフォリオを共有する管理者である*受信者管理者は*、製品や制約を変更することはできませんが、エンドユーザーの AWS Identity and Access Management (IAM) アクセスを追加できます。詳細については、「[ユーザーへのアクセス権限の付与](catalogs_portfolios_users.md)」を参照してください。
受信者管理者は、次の方法で AWS アカウントに属しているエンドユーザーに製品を配布できます。
+ インポートされたポートフォリオにユーザー、グループ、ロールを追加します。
+ インポートされたポートフォリオから**ローカルポートフォリオ**に製品を追加することで、受信者管理者が作成し、その AWS アカウントに属する別のポートフォリオになります。次に、受信者の管理者は、そのローカルポートフォリオにユーザー、グループ、およびロールを追加します。共有ポートフォリオで製品に適用した制約は、ローカルポートフォリオにも存在します。ローカルポートフォリオの受信者管理者は、制限を追加することができますが、共有ポートフォリオから最初にインポートされた制約を削除することはできません。
共有ポートフォリオに製品または制約を追加または削除すると、変更はポートフォリオのすべてのインポートされたインスタンスに伝搬されます。たとえば、共有ポートフォリオから製品を削除する場合、その製品はインポートされたポートフォリオからも削除されます。また、製品が追加されたすべてのローカルポートフォリオからも削除されます。削除する前にエンドユーザーが製品を起動した場合、エンドユーザーのプロビジョニング済み製品は実行し続けますが、それ以降の起動では使用できなくなります。
共有ポートフォリオで製品に起動制約を適用する場合、製品のすべてのインポートされたインスタンスに伝搬されます。この起動制約を上書きするには、受信者管理者はローカルポートフォリオに製品を追加し、別の起動制約を適用します。有効な起動制約により、製品の起動ロールが設定されます。
*起動ロール*は、エンドユーザーが製品を起動するときに AWS Service Catalog がリソース (Amazon EC2 インスタンスや Amazon RDS データベースなど) をプロビジョニング AWS するために使用する IAM ロールです。管理者は、特定の起動ロール ARN またはローカルロール名を指定できます。ロール ARN を使用する場合、エンドユーザーが起動ロールを所有するアカウントとは異なる AWS アカウントに属している場合でも、そのロールが使用されます。ローカルロール名を使用する場合、エンドユーザーのアカウントでその名前を持つ IAM ロールが使用されます。
起動制約と起動ロールの詳細については、「[AWS Service Catalog 起動の制限](constraints-launch.md)」を参照してください。起動ロールを所有する AWS アカウントは AWS リソースをプロビジョニングし、このアカウントではそれらのリソースの使用料金が発生します。詳細については、「[AWS Service Catalog 料金](https://aws.amazon.com/servicecatalog/pricing/)」を参照してください。
この動画では、 のアカウント間でポートフォリオを共有する方法を示します AWS Service Catalog。
[](http://www.youtube.com/watch?v=https://www.youtube.com/embed/BVSohYOppjk)
**注記**
インポートまたは共有されたポートフォリオの製品を再共有することはできません。
**注記**
ポートフォリオのインポートは、管理アカウントと依存アカウント間の同じリージョンで実行する必要があります。
## 共有ポートフォリオとインポートされたポートフォリオの関係
この表に、インポートされたポートフォリオと共有ポートフォリオの関係、およびポートフォリオをインポートする管理者が、そのポートフォリオとポートフォリオ内の製品で実行できることと、実行できないことの概要を示します。
| 共有ポートフォリオの要素 | インポートされたポートフォリオとの関係 | 受信者の管理者が実行できること | 受信者の管理者が実行できないこと |
| --- | --- | --- | --- |
| 製品と製品バージョン | 継承されます。 ポートフォリオ作成者が共有ポートフォリオに製品を追加または削除すると、変更はインポートされたポートフォリオに伝播されます。 | インポートされた製品をポートフォリオに追加する。製品は、共有ポートフォリオとの同期を維持します。 | インポートされたポートフォリオに製品をアップロード、追加、または削除する。 |
| 起動制約 | 継承されます。 ポートフォリオ作成者が共有製品に起動制約を追加または削除すると、変更は製品のすべてのインポートされたインスタンスに伝播されます。 受信者の管理者がインポートされた製品をローカルポートフォリオに追加した場合、そのインポートされた起動制約は共有ポートフォリオには引き継がれません。 | ローカルポートフォリオでは、管理者は製品のローカルリリースに影響する起動制約を適用できます。 | インポートされたポートフォリオとの間で、起動制約を追加または削除する。 |
| テンプレート制約 | 継承されます。 ポートフォリオ作成者がテンプレート制約を共有製品に追加または削除すると、変更は製品のすべてインポートされたインスタンスに伝搬されます。 受信者管理者がインポートされた製品をローカルポートフォリオに追加した場合、インポートされたテンプレートの制約はローカルポートフォリオに引き継がれません。 | ローカルポートフォリオでは、管理者はローカル製品を制約するテンプレート制約を追加できます。 | インポートされたテンプレートの制約を削除する。 |
| ユーザー、グループ、およびロール | 継承されません。 | 管理者の AWS アカウントに属するユーザー、グループ、およびロールを追加する。 | 該当なし。 |