# EC2 Fast Launch でのサービスにリンクしたロール
<a name="slr-windows-fast-launch"></a>

Amazon EC2 は、ユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可のために、サービスにリンクされたロールを使用します。サービスにリンクされたロールはAWS のサービス に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS のサービスにアクセス許可を委任するためのセキュアな方法を提供します。これは、リンクされたサービスのみが、サービスにリンクされたロールを引き受けることができるためです。Amazon EC2 がサービスリンクロールを含めた IAM ロールを使用する方法の詳細については、「[Amazon EC2 の IAM ロール](iam-roles-for-amazon-ec2.md)」を参照してください。

Amazon EC2 では、AWSServiceRoleForEC2FastLaunch という名前のサービスリンクロールを使用して、Windows AMI からのインスタンスの起動にかかる時間を短縮する、事前プロビジョニングされたスナップショットのセットを作成および管理します。

## AWSServiceRoleForEC2FastLaunch によって付与されるアクセス許可
<a name="slr-permissions-granted-win-faster-launching"></a>

AWSServiceRoleForEC2FastLaunch サービスにリンクされたロールはその引き受け時に、以下のサービスを信頼します。
+ `ec2fastlaunch.amazonaws.com`

Amazon EC2 は、[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html) 管理ポリシーを使用して、次のアクションを実行します。
+ **AWS CloudFormation** – 関連する CloudFormation スタックの説明を取得することを EC2 Fast Launch に許可します。
+ **Amazon CloudWatch** – EC2 Fast Launch に関連付けられたメトリクスデータを Amazon EC2 の名前空間にポストします。
+ **Amazon EC2** – EC2 Fast Launch が以下のアクションを実行するためのアクセス権が付与されます。
  + プロビジョニング手順を実行するために、EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI からインスタンスを起動する。さらに、License Manager に関連付けられている AMI の `ec2:RunInstances` を許可するリソースパターンを指定する。
  + EC2 Fast Launch が事前プロビジョニングされたスナップショットを作成した後で、EC2 Fast Launch が起動したインスタンスを停止し、終了する。
  + EC2 Fast Launch が有効化された Amazon EC2 Windows Server AMI からインスタンスを起動するために使用されたイメージとインスタンスタイプのリソースを記述し、それらからスナップショットを作成する。
  + 起動テンプレートリソースを記述し、起動テンプレートからインスタンスを起動する。
  + インスタンス、インスタンス属性、インスタンスステータス、ボリューム、ボリューム属性について説明する。
  + ネットワークインターフェイスを記述する。
  + EC2 Fast Launch が作成したリソース (スナップショット、起動テンプレート、ボリューム、ネットワークインターフェイスなど) を削除する。
  + EC2 Fast Launch が Windows インスタンスを起動および事前プロビジョニングするために作成するリソースにタグを付け、最終的な起動プロセスが使用するスナップショットを作成する。
+ **Amazon EventBridge** – EventBridge イベントルールを作成し、作成したルールの詳細を取得またはそれらを削除するためのアクセスを含めます。EC2 Fast Launch は、イベントルールに基づいて転送される EC2 Fast Launch イベントを受信するターゲットサービスのリストを取得し、作成したイベントルールにターゲットサービスの追加したり、ルールから削除したりすることもできます。
+ **IAM** – `EC2FastLaunchServiceRolePolicy` サービスリンクロールを作成する、名前に `ec2fastlaunch` が含まれているインスタンスプロファイルを取得して使用する、および起動テンプレートからのインスタンスプロファイルを使用してユーザーに代わってインスタンスを起動することを EC2 Fast Launch に許可します。
+ **AWS KMS** – グラントを作成するアクセスと、EC2 Fast Launch が作成したグラントで廃止できるものを一覧表示するためのアクセスを含めます。また、EC2 Fast Launch が作成するインスタンスにアタッチされたボリュームを暗号化または復号化するためのキーを記述または使用、およびプレーンテキストではないデータキーを生成するためのアクセスも含めます。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/EC2FastLaunchServiceRolePolicy.html)」を参照してください。

Amazon EC2 のマネージドポリシーの使用方法の詳細については、「[Amazon EC2 の AWS マネージドポリシー](security-iam-awsmanpol.md)」を参照してください。

## サービスにリンクされたロールの作成
<a name="create-fast-launch-slr"></a>

このサービスリンクロールを手動で作成する必要はありません。AMI に対し EC2 Fast Launch の使用を開始した際に、サービスにリンクしたロールが存在しない場合、Amazon EC2 はそのロールを作成します。

サービスにリンクしたロールがアカウントから削除された場合、別の Windows AMI に対し EC2 Fast Launch を有効にして、アカウントでロールを再作成することができます。または、現在の AMI に対して EC2 Fast Launch を無効にし、再度有効にすることもできます。ただし、機能を無効にすると、AMI ではすべての新しいインスタンスに対して標準の起動プロセスが使用され、Amazon EC2 では事前プロビジョニングされたスナップショットがすべて削除されます。事前プロビジョニングされたスナップショットがすべて削除されたら、AMI に対し EC2 Fast Launch の使用を再び有効にすることができます。

## カスタマーマネージドキーへのアクセス
<a name="win-faster-launching-slr-access-to-cust-keys"></a>

暗号化にカスタマーマネージドキーを使用する[暗号化された AMI](AMIEncryption.md) に対して EC2 Fast Launch を有効にするには、AWSServiceRoleForEC2FastLaunch ロールに CMK を使用するアクセス許可を付与する必要があります。これを行うには、[create-grant](https://docs.aws.amazon.com/cli/latest/reference/kms/create-grant.html) コマンドを呼び出します。`--grantee-principal` には、アカウントの AWSServiceRoleForEC2FastLaunch ロールの ARN を指定します。`--operations` の場合、`CreateGrant` を指定します。

```
aws kms create-grant \
    --key-id arn:aws:kms:{{us-east-1}}:{{111122223333}}:key/{{1234abcd-12ab-34cd-56ef-1234567890ab}} \
    --grantee-principal arn:aws:iam::{{111122223333}}:role/AWSServiceRoleForEC2FastLaunch \
    --operations CreateGrant
```

## サービスにリンクされたロールの編集
<a name="edit-fast-launch-slr"></a>

Amazon EC2 では、AWSServiceRoleForEC2FastLaunch のサービスリンクロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)」を参照してください。

## サービスにリンクされたロールを削除
<a name="delete-fast-launch-slr"></a>

サービスリンクロールは、関連リソースをすべて削除した後でしか削除できません。この結果、Amazon EC2 リソースへのアクセス許可が誤って削除できなくなるため、EC2 Fast Launch が有効になっている Amazon EC2 Windows Server AMI に関連付けられたリソースが保護されます。

IAM コンソール、AWS CLI、または AWS API を使用して、**AWSServiceRoleForEC2FastLaunch** サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください

## サポート対象のリージョン
<a name="regions-fast-launch-slr"></a>

Amazon EC2 では、Amazon EC2 サービスを利用できるすべてのリージョンで、EC2 Fast Launch のサービスにリンクしたロールがサポートされています。