Amazon Monitron は新規顧客に公開されなくなりました。既存のお客様は、通常どおりサービスを引き続き使用できます。Amazon Monitron に似た機能については、[ブログ記事](https://aws.amazon.com/blogs/machine-learning/maintain-access-and-consider-alternatives-for-amazon-monitron)を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Monitron のサービスリンクロールの使用
Amazon Monitron は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon Monitron に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Amazon Monitron によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がないため、Amazon Monitron のセットアップが簡単になります。サービスリンクロールの許可は Amazon Monitron が定義し、別段の定義がない限り、Amazon Monitron のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスリンクロール**列に**はい**と表記されているサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**Topics**
+ [Amazon Monitron のサービスリンクロール許可](slr-permissions.md)
+ [Amazon Monitron のサービスリンクロールの作成](create-slr.md)
+ [Amazon Monitron のサービスリンクロールの編集](edit-slr.md)
+ [Amazon Monitron のサービスリンクロールの削除](delete-slr.md)
+ [Amazon Monitron サービスリンクロールがサポートされるリージョン](slr-regions.md)
+ [AWS Amazon Monitron の マネージドポリシー](monitron-managed-policies.md)
+ [AWS マネージドポリシーに対する Amazon Monitron の更新](managed-policy-updates.md)
# Amazon Monitron のサービスリンクロール許可
Amazon Monitron は、**AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1]** という名前のサービスにリンクされたロールを使用します。Amazon Monitron は AWSServiceRoleForMonitron を使用して、Cloudwatch Logs、Kinesis Data Streams、KMS キー、SSO などの他の AWS サービスにアクセスします。ポリシーの詳細については、「 *AWS マネージドポリシーリファレンスガイド*」の[AWSServiceRoleForMonitronPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForMonitronPolicy.html)」を参照してください。
AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] のサービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `monitron.amazonaws.com`、または `core.monitron.amazonaws.com`
MonitronServiceRolePolicy という名前のロールのアクセス許可ポリシーは、指定したリソースに対して Amazon Monitron が以下のアクションを実行することを許可します。
+ アクション: Amazon CloudWatch Logs `logs:CreateLogGroup`、CloudWatch ロググループ、ログストリーム、および /aws/monitron/\$1 パスにあるログイベント上の `logs:CreateLogStream` および `logs:PutLogEvents`
MonitronServiceDataExport-KinesisDataStreamAccess という名前のロールのアクセス許可ポリシーは、指定したリソースに対して Amazon Monitron が以下のアクションを実行することを許可します。
+ アクション: Amazon Kinesis `kinesis:PutRecord`、`kinesis:PutRecords`、およびライブデータエクスポート用に指定された Kinesis データストリーム上の `kinesis:DescribeStream`
+ アクション: ライブデータエクスポート用に AWS KMS 指定された Kinesis データストリームで使用されるキーの Amazon AWS KMS `kms:GenerateDataKey`
+ アクション: 使用していないサービスにリンクされたロール自体を削除する Amazon IAM `iam:DeleteRole`
AWSServiceRoleForMonitronPolicy という名前のロールのアクセス許可ポリシーは、Amazon Monitron が指定されたリソースで以下のアクションを実行することを許可します。
+ アクション: IAM Identity Center `sso:GetManagedApplicationInstance`、`sso:GetProfile`、`sso:ListProfiles`、`sso:AssociateProfile`、`sso:ListDirectoryAssociations`、、`sso:CreateApplicationAssignment`、および `sso:ListProfileAssociations` `sso-directory:DescribeUsers` `sso-directory:SearchUsers`プロジェクトに関連付けられた IAM Identity Center ユーザー`sso:ListApplicationAssignments`にアクセス
**注記**
Amazon Monitron が Amazon Monitron プロジェクトの基盤となるアプリケーションインスタンスとの関連付けを一覧表示できるようにするために、`sso:ListProfileAssociations` を追加してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
# Amazon Monitron のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。の Amazon Monitron でユーザーに代わって他の AWS サービスを呼び出すアクセス許可を必要とする機能を有効にすると AWS マネジメントコンソール、Amazon Monitron によってサービスにリンクされたロールが作成されます。
# Amazon Monitron のサービスリンクロールの編集
Amazon Monitron では、サービスにリンクされたロール AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] を編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
# Amazon Monitron のサービスリンクロールの削除
AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] ロールを手動で削除する必要はありません。で Amazon Monitron を通じて作成した Amazon Monitron プロジェクトを削除すると AWS マネジメントコンソール、Amazon Monitron はリソースをクリーンアップし、サービスにリンクされたロールを削除します。
IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。
**注記**
リソースを削除しようとしたときに Amazon Monitron サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
**AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] で使用される Amazon Monitron リソースを削除するには**
+ このサービスリンクロールを使用して Amazon Monitron プロジェクトを削除してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
# Amazon Monitron サービスリンクロールがサポートされるリージョン
Amazon Monitron は、このサービスを利用できるすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com//general/latest/gr/rande.html#connect_region)」を参照してください。
Amazon Monitron は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForMonitron[\$1\$1SUFFIX\$1] ロールは、以下のリージョンで使用できます。
****
| リージョン名 | リージョン識別子 | Amazon Monitron でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | いいえ |
| 米国西部(北カリフォルニア) | us-west-1 | いいえ |
| 米国西部 (オレゴン) | us-west-2 | いいえ |
| アジアパシフィック (ムンバイ) | ap-south-1 | いいえ |
| アジアパシフィック (大阪) | ap-northeast-3 | いいえ |
| アジアパシフィック (ソウル) | ap-northeast-2 | いいえ |
| アジアパシフィック (シンガポール) | ap-southeast-1 | いいえ |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | いいえ |
| カナダ (中部) | ca-central-1 | いいえ |
| 欧州 (フランクフルト) | eu-central-1 | いいえ |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | いいえ |
| 欧州 (パリ) | eu-west-3 | いいえ |
| 南米 (サンパウロ) | sa-east-1 | いいえ |
| AWS GovCloud (US) | us-gov-west-1 | いいえ |
# AWS Amazon Monitron の マネージドポリシー
IAM エンティティに AmazonMonitronFullAccess をアタッチできます。このポリシーにより、すべての Amazon Monitron のリソースとオペレーションへのアクセスを許可する管理アクセス許可が付与されます。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": "monitron.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"monitron:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:ListKeys",
"kms:DescribeKey",
"kms:ListAliases"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "kms:CreateGrant",
"Resource": "*",
"Condition": {
"StringLike": {
"kms:ViaService": [
"monitron.*.amazonaws.com"
]
},
"Bool": {
"kms:GrantIsForAWSResource": true
}
}
},
{
"Sid": "AWSSSOPermissions",
"Effect": "Allow",
"Action": [
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kinesis:DescribeStream",
"kinesis:ListStreams"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:GetLogEvents",
"logs:CreateLogGroup"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/monitron/*"
}
]
}
```
------
# AWS マネージドポリシーに対する Amazon Monitron の更新
このサービスがこれらの変更の追跡を開始してからの Amazon Monitron の AWS マネージドポリシーの更新に関する詳細を表示します。このページの変更に関する自動通知を入手するには、Amazon Monitron ドキュメントの履歴ページから、RSS フィードを購読してください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| AWSServiceRoleForMonitronPolicy - 既存のポリシーの更新 | [ロールのアクセス許可ポリシー](https://docs.aws.amazon.com/Monitron/latest/user-guide/using-service-linked-roles.html)`sso:ListApplicationAssignments`に `sso:CreateApplicationAssignment`と を追加しました。 | 2024 年 9 月 30 日 |
| AmazonMonitronFullAccess — 既存ポリシーの更新 | Amazon Monitron に、Kinesis データストリームの記述と一覧表示、および CloudWatch のロググループ、ログストリーム、ログイベントを記述、取得、作成できるアクセス許可が追加されました。Amazon Monitron コンソールを使用して Kinesis データストリームと CloudWatch Logs に関する情報を表示するには、これらの権限を使用する必要があります。 | 2022 年 6 月 8 日 |