翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon Route 53 Resolverのサービスにリンクされたロールの使用
Route 53 VPC Resolver は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、VPC Resolver に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは VPC Resolver によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、VPC リゾルバーの設定が簡単になります。VPC Resolver は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、VPC Resolver のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティに添付することはできません。
サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、VPC Resolver リソースへのアクセス許可が誤って削除されないため、VPC Resolver リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS のサービス」を参照して、サービスにリンクされたロール列がはいになっているサービスを探してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。
トピック
VPC リゾルバーのサービスにリンクされたロールのアクセス許可
VPC Resolver は、AWSServiceRoleForRoute53Resolverサービスにリンクされたロールを使用して、ユーザーに代わってクエリログを配信します。
ロールのアクセス許可ポリシーにより、VPC Resolver はリソースに対して次のアクションを実行できます。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。
VPC リゾルバーのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。Amazon Route 53 コンソール、、 AWS CLIまたは AWS API でリゾルバークエリログ設定の関連付けを作成すると、VPC Resolver によってサービスにリンクされたロールが作成されます。
重要
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、サービスにリンクされたロールのサポートを開始した 2020 年 8 月 12 日より前に VPC Resolver サービスを使用している場合、VPC Resolver はアカウントにAWSServiceRoleForRoute53Resolverロールを作成しました。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。新しい Resolver クエリログ設定の関連付けを作成すると、AWSServiceRoleForRoute53Resolver というサービスにリンクされたロールが再度作成されます。
VPC リゾルバーのサービスにリンクされたロールの編集
VPC Resolver では、AWSServiceRoleForRoute53Resolverサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
VPC リゾルバーのサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除しようとしたときに VPC Resolver サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
で使用される VPC Resolver リソースを削除するには AWSServiceRoleForRoute53Resolver
にサインイン AWS マネジメントコンソール し、https://console.aws.amazon.com/route53/
で Route 53 コンソールを開きます。 -
Route 53 コンソールのメニューを展開します。コンソールの左上隅にある 3 本の水平バー (
) アイコンを選択します。 -
Resolver メニューから、[Query logging (クエリログ記録)] を選択します。
-
クエリログ設定の名前の横にあるチェックボックスをオンにし、[Delete (削除) ]を選択します。
[Delete query logging configuration (クエリログ記録設定を削除) ] テキストボックスで [Stop logging queries (クエリログ記録を停止) ] を選択します。
これにより、VPC から設定の関連付けが解除されます。また、クエリログ設定の関連付けをプログラムで解除することもできます。詳細については、「disassociate-resolver-query-log-config」を参照してください。
クエリのログ記録が停止した後、オプションでフィールドに
deleteを入力し、[Delete (削除) ] を選択してクエリログ設定を削除できます。ただし、AWSServiceRoleForRoute53Resolverで使用されるリソースを削除する場合、これは必要ありません。
サービスリンクロールを IAM で手動削除するには
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForRoute53Resolverサービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。
VPC Resolver のサービスにリンクされたロールでサポートされているリージョン
VPC Resolver は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしているわけではありません。以下のリージョンでは、AWSServiceRoleForRoute53Resolver ロールを使用できます。
| リージョン名 | リージョン識別子 | VPC Resolver でのサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| 中国 (北京) | cn-north-1 | はい |
| 中国 (寧夏) | cn-northwest-1 | はい |
| AWS GovCloud (US) | us-gov-east-1 | はい |
| AWS GovCloud (US) | us-gov-west-1 | はい |
