翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Resource Groups でサービスにリンクされたロールの使用
<a name="security_iam_service-linked-roles"></a>

AWS Resource Groups は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Resource Groups に直接リンクされている固有のタイプの IAM ロールです。サービスにリンクされたロールは、Resource Groups によって事前定義されており、お客様の代わりにサービスから他の AWS のサービス を呼び出す必要のある許可がすべて含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Resource Groups の設定が簡単になります。Resource Groups は、サービスにリンクされたロールのアクセス許可を定義し、Resource Groups サービスのみがそのロールを引き受けることができるようにする信頼ポリシーを設定します。定義されるアクセス権限には、信頼ポリシーやアクセス許可ポリシーなどがあり、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。

## Resource Groups のサービスにリンクされたロールにおけるアクセス許可
<a name="service-linked-role-permissions"></a>

Resource Groups は、以下のサービスにリンクされたロールを使用して、グループライフサイクルイベントをサポートします。ロール名のリンクを選択すると、作成後に IAM コンソールにそのロールが表示されます。
+ `[AWSServiceRoleForResourceGroups](https://console.aws.amazon.com/iamv2/home#/roles/details/AWSServiceRoleForResourceGroups)`

 Resource Groups は、このロールのアクセス許可を使用して、リソースを所有 AWS のサービス する をクエリし、グループのメンバーシップを解決し、グループup-to-date保ちます。また、Resource Groups サービス関連のイベントを Amazon EventBridge サービスに発行できます。

`AWSServiceRoleForResourceGroups` サービスにリンクされたロールはその引き受け時に、以下のサービス**のみ**を信頼します。
+ `resourcegroups.amazonaws.com`

ロールにアタッチされたアクセス許可は、次の AWS 管理ポリシーから取得されます。ポリシー名のリンクを選択すると、IAM コンソールにポリシーが表示されます。
+ `AWS の マネージドポリシー AWS Resource Groups`

## Resource Groups 用のサービスにリンクされたロールの作成
<a name="create-service-linked-role"></a>

**重要**  
このサービスリンクロールは、このロールでサポートされている機能が必要な別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、[「新しいロールが AWS アカウント](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

サービスにリンクされたロールを作成するには、[グループライフサイクルイベント機能を有効にします](monitor-groups-turn-on.md)。

## Resource Groups のサービスにリンクされたロールの編集
<a name="edit-service-linked-role"></a>

Resource Groups では、AWSServiceRoleForResourceGroups のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「サービスにリンクされたロールの編集」を参照してください。

## Resource Groups のサービスにリンクされたロールの削除
<a name="delete-service-linked-role"></a>

グループライフサイクルイベント機能を無効にした後にのみ、サービスにリンクされたロールを削除することができます。

**重要**  
AWS では、サービスにリンクされたロールを作成した[グループライフサイクルイベント機能を最初に無効に](monitor-groups-turn-off.md)するまで削除できません。
にリソースグループがある限り、サービスにリンクされたロールを削除しないことをお勧めします AWS アカウント。このロールを削除した場合、Resource Groups サービスは他の とやり取り AWS のサービス してグループを管理することはできません。

### サービスリンク役割の手動による削除
<a name="slr-manual-delete"></a>

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForResourceGroups サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

------
#### [ Console ]

**Resource Groups のサービスにリンクされたロールを削除するには**

1. [ロールページへの IAM コンソール](https://console.aws.amazon.com/iam/home#/roles)を開きます。

1. AWSServiceRoleForResourceGroups という名前のロールを探し、その横にあるチェックボックスを選択します。

1. [**削除**] をクリックします。

1. ボックスにロール名を入力して、ロールを削除するかどうかを確認し、[**削除**] を選択します。

IAM コンソールのロールのリストからロールが表示されなくなります。

------
#### [ AWS CLI ]

**Resource Groups のサービスにリンクされたロールを削除するには**  
ロールを削除するには、表示されているとおりのパラメータで、次のコマンドを入力します。いずれの値も置換しないでください。

```
$ aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForResourceGroups
{
    "DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}
```

コマンドはタスク ID を返します。実際のロール削除は非同期的に行われます。指定されたタスク識別子を次の AWS CLI コマンドに渡すことで、ロールの削除のステータスを確認できます。

```
$ aws iam get-service-linked-role-deletion-status \
    --deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
    "Status": "SUCCEEDED"
}
```

------

## Resource Groups のサービスにリンクされたロールをサポートするリージョン
<a name="slr-regions"></a>

Resource Groups は、サービス AWS リージョン が利用可能なすべての でサービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。