CloudWatch Logs のサービスにリンクされたロールの使用 - Amazon CloudWatch Logs
CloudWatch Logs のサービスにリンクされたロールの許可CloudWatch Logs のサービスにリンクされたロールの作成CloudWatch Logs のサービスにリンクされたロールの編集CloudWatch Logs のサービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch Logs のサービスにリンクされたロールの使用

Amazon CloudWatch Logs は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、CloudWatch Logs に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudWatch Logs によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールでは、必要なアクセス許可を手動で追加する必要がないため、CloudWatch Logs の設定が効率的になります。CloudWatch Logs は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されていない限り、CloudWatch Logs のみがこれらのロールを引き受けることができます。定義されたアクセス権限には、信頼ポリシーとアクセス権限ポリシーが含まれます。アクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートしているその他のサービスの詳細については、「IAM と連携するAWS のサービス」を参照してください。サービスにリンクされたロール列が「はい」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

CloudWatch Logs のサービスにリンクされたロールの許可

CloudWatch Logs は AWSServiceRoleForLogDelivery というサービスにリンクされたロールを使用します。CloudWatch Logs は、このサービスにリンクされたロールを使用して Firehose に直接ログを書き込みます。詳細については、「AWS サービスからのログ記録を有効にする」を参照してください。

AWSServiceRoleForLogDelivery サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • logs.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを完了することを CloudWatch Logs に許可します。

  • アクション: 値が TrueLogDeliveryEnabled キーを持つタグが付いたすべての Firehose ストリーム上で firehose:PutRecordBatch および firehose:PutRecord。このタグは、ログを Firehose に配信するサブスクリプションを作成すると、Firehose ストリームに自動的にアタッチされます。

IAM エンティティがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス許可を設定する必要があります。このエンティティは、ユーザー、グループ、またはロールです。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。

CloudWatch Logs のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で Firehose ストリームに直接送信されるログを設定すると、CloudWatch Logs によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Firehose ストリームに直接送信するように再度ログを設定すると、CloudWatch Logs によってサービスにリンクされたロールが再び作成されます。

CloudWatch Logs のサービスにリンクされたロールの編集

CloudWatch Logs では、ロールを作成した後に、AWSServiceRoleForLogDelivery または他のサービスにリンクされたロールを編集することはできません。さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。

CloudWatch Logs のサービスにリンクされたロールの削除

サービスリンクロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、CloudWatch Logs サービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForLogDelivery サービスにリンクされたロールによって使用されている CloudWatch Logs リソースを削除するには

  • Firehose ストリームへのログの直接送信を停止します。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForLogDeliveryサービスにリンクされたロールを削除します。詳細については、「サービスにリンクされたロールの削除」を参照してください。

CloudWatch Logs のサービスにリンクされたロールでサポートされるリージョン

CloudWatch Logs は、サービスが利用可能なすべての AWS リージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「CloudWatch Logs リージョンとエンドポイント」を参照してください。