EC2 Capacity Manager 用のサービスリンクロールの使用
EC2 Capacity Manager は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスリンクロールは、Capacity Manager に直接リンクされる一意の IAM ロールタイプです。サービスリンクロールは Capacity Manager によって事前定義されており、当サービスがユーザーに代わって他の AWS サービスを呼び出すために必要な許可のすべてが含まれています。
サービスリンクロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Capacity Manager の設定が容易になります。Capacity Manager のサービスリンクロールの許可は Capacity Manager が定義し、そのロールを引き受けることができるのは Capacity Manager のみです (別途定義されている場合を除く)。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースにアクセスする許可が誤って削除されることがなくなるため、Capacity Manager のリソースが保護されます。
サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照して、サービスリンクロール列にはいと表記されているサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。
Capacity Manager 用のサービスリンクロール許可
Capacity Manager は、ユーザーがキャパシティリソースを管理することを可能にし、ユーザーに代わって AWS Organizations と統合するために、AWSServiceRoleForEC2CapacityManager という名前のサービスリンクロールを使用します。
AWSServiceRoleForEC2CapacityManager サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
-
ec2.capacitymanager.amazonaws.com
AWSEC2CapacityManagerServiceRolePolicy という名前のロール許可ポリシーは、Capacity Manager が以下のアクションを完了できるようにします。
-
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListChildren -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。
Capacity Manager 用のサービスリンクロールの作成
AWSEC2CapacityManagerServiceRolePolicy ユースケースでサービスリンクロールを作成するには、IAM コンソールを使用できます。AWS CLI または AWS API では、ec2.capacitymanager.amazonaws.com サービス名を使用してサービスにリンクされたロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
Capacity Manager 用のサービスリンクロールの編集
Capacity Manager では、AWSServiceRoleForEC2CapacityManager サービスリンクロールを編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
Capacity Manager 用のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除しようとするときに Capacity Manager サービスがそのロールが使用していると、削除が失敗する場合があります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForEC2CapacityManager が使用している Capacity Manager リソースを削除する
-
すべての委任管理者は、組織のアクセスを削除する前に Capacity Manager を無効にしておく必要があります。
-
Capacity Manager を無効にする前に、アクティブなデータエクスポートを削除する必要があります。
サービスリンクロールを IAM で手動削除するには
AWSServiceRoleForEC2CapacityManager サービスリンクロールは、IAM コンソール、AWS CLI、または AWS API を使用して削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
Capacity Manager サービスリンクロールがサポートされるリージョン
Capacity Manager は、このサービスを利用できるすべてのリージョンでサービスリンクロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。
Capacity Manager は、このサービスを利用できるすべてのリージョンでサービスリンクロールの使用をサポートしているわけではありません。AWSServiceRoleForEC2CapacityManager ロールは、以下のリージョンで使用できます。
| リージョン名 | リージョン識別子 | Capacity Manager でのサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アフリカ (ケープタウン) | af-south-1 | いいえ |
| アジアパシフィック (香港) | ap-east-1 | いいえ |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | いいえ |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (ミラノ) | eu-south-1 | いいえ |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 中東 (バーレーン) | me-south-1 | なし |
| 中東 (アラブ首長国連邦) | me-central-1 | なし |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (米国東部) | us-gov-east-1 | いいえ |
| AWS GovCloud (米国西部) | us-gov-west-1 | いいえ |
