Network Flow Monitor のサービスリンクロール - Amazon CloudWatch
Network Flow Monitor のサービスにリンクされたロールのアクセス許可Network Flow Monitor のサービスにリンクされたロールの作成Network Flow Monitor のサービスにリンクされたロールの編集Network Flow Monitor のサービスにリンクされたロールの削除Network Flow Monitor のサービスリンクロール更新

Network Flow Monitor のサービスリンクロール

Network Flow Monitor は、AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスリンクロールは、Network Flow Monitor に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは Network Flow Monitor によって事前に定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なアクセス許可がすべて含まれています。

Network Flow Monitor は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Network Flow Monitor のみがそのロールを担うことができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

ロールを削除するには、まず関連リソースを削除します。この制限により、リソースへのアクセス許可を誤って削除することがなくなるため、Network Flow Monitor リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動する AWS サービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) の列内で [Yes] (はい) と表記されたサービスを確認してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。

Network Flow Monitor のサービスにリンクされたロールのアクセス許可

Network Flow Monitor は、以下のサービスリンクロールを使用します。

  • AWSServiceRoleForNetworkFlowMonitor

  • AWSServiceRoleForNetworkFlowMonitor_Topology

AWSServiceRoleForNetworkFlowMonitor のサービスリンクロール許可の使用

Network Flow Monitor は、[AWSServiceRoleForNetworkFlowMonitor] という名前のサービスリンクロールを使用します。このロールにより、Network Flow Monitor は、インスタンス間、およびインスタンスと AWS のロケーション間のネットワークトラフィック用に収集された CloudWatch 集約テレメトリメトリクスを発行できます。また、これによりサービスで AWS Organizations を使用して、マルチアカウントシナリオの情報も取得できるようになります。

このサービスリンクロールは、マネージドポリシーである CloudWatchNetworkFlowMonitorServiceRolePolicy を使用します。

このポリシーに対する許可を確認するには、「AWS マネージドポリシーリファレンス」の「CloudWatchNetworkFlowMonitorServiceRolePolicy」を参照してください。

[AWSServiceRoleForNetworkFlowMonitor] サービスリンクロールは、次のサービスを信頼してロールを引き受けます。

  • networkflowmonitor.amazonaws.com

AWSServiceRoleForNetworkFlowMonitor_Topology のサービスリンクロールのアクセス許可

Network Flow Monitor は、[AWSServiceRoleForNetworkFlowMonitor_Topology] という名前のサービスリンクロールを使用します。このロールにより、Network Flow Monitor は Network Flow Monitor で使用するリソースのトポロジスナップショットを生成できます。

このサービスリンクロールは、マネージドポリシーである CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy を使用します。

このポリシーに対する許可を確認するには、「AWS マネージドポリシーリファレンス」の「CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy」を参照してください。

[AWSServiceRoleForNetworkFlowMonitor_Topology] サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。

  • topology.networkflowmonitor.amazonaws.com

Network Flow Monitor のサービスにリンクされたロールの作成

Network Flow Monitor のサービスリンクロールを手動で作成する必要はありません。Network Flow Monitor を初めて初期化すると、Network Flow Monitor によって [AWSServiceRoleForNetworkFlowMonitor][AWSServiceRoleForNetworkFlowMonitor_Topology] が作成されます。

詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。

Network Flow Monitor のサービスにリンクされたロールの編集

Network Flow Monitor がサービスにリンクされたロールをアカウントに作成すると、多くのエンティティによってロールが参照される可能性があるため、ロールの名前を変更することはできません。IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Network Flow Monitor のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Network Flow Monitor サービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってから再試行してください。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスリンクロールである [AWSServiceRoleForNetworkFlowMonitor] または [AWSServiceRoleForNetworkFlowMonitor_Topology] を削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Network Flow Monitor のサービスリンクロールを更新する

Network Flow Monitor のサービスリンクロールの AWS マネージドポリシーである CloudWatchNetworkFlowMonitorServiceRolePolicy、または CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy への更新については、「AWS マネージドポリシーに関する CloudWatch の更新」を参照してください。CloudWatch のマネージドポリシーの変更に関する自動通知を入手するには、CloudWatch ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。