# Internet Monitor のサービスリンクロール
<a name="using-service-linked-roles-CWIM"></a>

Internet Monitor は AWS Identity and Access Management (IAM) [サービスリンクロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Internet Monitor に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは Internet Monitor によって事前に定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なアクセス許可がすべて含まれています。

Internet Monitor は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Internet Monitor のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

ロールを削除するには、まずそのロールの関連リソースを削除します。この制限により、リソースへのアクセス許可を誤って削除することがなくなるため、Internet Monitor リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連動する AWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、[**Service-linked roles**] (サービスにリンクされたロール) の列内で [**Yes**] (はい) と表記されたサービスを確認してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。

## Internet Monitor のサービスにリンクされたロールのアクセス許可
<a name="service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor"></a>

Internet Monitor は、**AWSServiceRoleForInternetMonitor** という名前のサービスリンクロールを使用します。このロールにより、Internet Monitor は Amazon Virtual Private Cloud リソース、Amazon CloudFront ディストリビューション、Amazon WorkSpaces ディレクトリ、Network Load Balancers といったアカウント内のリソースにアクセスできます。そして、モニタを作成するときにこれらのリソースを選択できます。

このサービスリンクロールは、マネージドポリシーである `CloudWatchInternetMonitorServiceRolePolicy` を使用します。

**AWSServiceRoleForInternetMonitor** サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
+ `internetmonitor.amazonaws.com`

このポリシーに対する許可を確認するには、「AWS マネージドポリシーリファレンス」の「[CloudWatchInternetMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorServiceRolePolicy.html)」を参照してください。

## Internet Monitor のサービスにリンクされたロールの作成
<a name="create-service-linked-role-CWIM"></a>

Internet Monitor のサービスにリンクされたロールを手動で作成する必要はありません。初めてモニターを作成すると、Internet Monitor によって **AWSServiceRoleForInternetMonitor** が自動的に作成されます。

詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

## Internet Monitor のサービスにリンクされたロールの編集
<a name="edit-service-linked-role-CWIM"></a>

Internet Monitor がサービスにリンクされたロールをアカウントに作成すると、多くのエンティティによってロールが参照される可能性があるため、ロールの名前を変更することはできません。IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Internet Monitor のサービスにリンクされたロールの削除
<a name="delete-service-linked-role-CWIM"></a>

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

Internet Monitor のモニターからリソースを削除した後にモニターを削除すると、サービスにリンクされたロール **AWSServiceRoleForInternetMonitor** を削除できます。

**注記**  
リソースを削除する際に、Internet Monitor サービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってから再試行してください。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、AWS CLI、または AWS API を使用して、**AWSServiceRoleforInternetMonitor** サービスリンクロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## Internet Monitor のサービスリンクロールを更新する
<a name="security-iam-awsmanpol-updates-cwim"></a>

Internet Monitor のサービスリンクロールの AWS マネージドポリシーである **AWSServiceRoleForInternetMonitor** の更新については、「[AWS マネージドポリシーに関する CloudWatch 更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)」を参照してください。CloudWatch のマネージドポリシーの変更に関する自動通知を入手するには、CloudWatch [ドキュメントの履歴](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)ページから、RSS フィードにサブスクライブしてください。