翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ユーザーサブスクリプションでサービスリンクロールを使用する
<a name="using-service-linked-roles-user-subs"></a>

ユーザーサブスクリプションは AWS Identity and Access Management 、(IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、ユーザーサブスクリプションに直接リンクされた特殊なタイプの IAM ロールです。サービスリンクロールは、ユーザーサブスクリプションによって事前定義されており、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が付与されています。

サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、ユーザーサブスクリプションの設定が簡単になります。サービスリンクロールのアクセス許可はユーザーサブスクリプションが定義します。特に定義されている場合を除き、ユーザーサブスクリプションのみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。リソースに必要なアクセス許可を誤って削除できないため、これによりユーザーサブスクリプションが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。

## ユーザーサブスクリプションのサービスリンクロールのアクセス許可
<a name="service-linked-role-permissions-user-subs"></a>

ユーザーサブスクリプションは、**AWSServiceRoleForUserSubscriptions** という名前のサービスにリンクされたロールを使用します。このロールは、ユーザーサブスクリプションが IAM アイデンティティセンターのリソースにアクセスし、サブスクリプションを自動的に更新できるようにします。

AWSServiceRoleForUserSubscriptions のサービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `user-subscriptions.amazonaws.com`

[AWSServiceRoleForUserSubscriptions](managed-policy.md#amazonq-policy-AWSServiceRoleForUserSubscriptions) というロールのアクセス許可ポリシーでは、ユーザーサブスクリプションは、指定されたリソースで次のアクションを完了することができます。
+ アクション: `identitystore:DescribeGroup`。対象リソース: `*`

  アクション: `*` 上で `identitystore:DescribeUser`

  アクション: `*` 上で `identitystore:IsMemberInGroups`

  アクション: `*` 上で `identitystore:ListGroupMemberships`

  アクション: `*` 上で `organizations:DescribeOrganization`

  アクション: `*` 上で `sso:DescribeApplication`

  アクション: `*` 上で `sso:DescribeInstance`

  アクション: `*` 上で `sso:ListInstances`

  アクション: `sso-directory:DescribeUser`。対象リソース: `*`

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については「*IAM ユーザーガイド*」の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## ユーザーサブスクリプションのサービスリンクロールを作成する
<a name="create-service-linked-role-user-subs"></a>

サービスリンクロールを手動で作成する必要はありません。でユーザーサブスクリプションを作成すると AWS マネジメントコンソール、ユーザーサブスクリプションによってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。設定を更新すると、ユーザーサブスクリプションによってサービスリンクロールが再度作成されます。

IAM コンソールまたは AWS CLI を使用して、`q.amazonaws.com` というサービス名でサービスリンクロールを作成できます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## ユーザーサブスクリプションのサービスリンクロールを編集する
<a name="edit-service-linked-role-user-subs"></a>

ユーザーサブスクリプションでは、AWSServiceRoleForUserSubscriptions サービスリンクロールを編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## ユーザーサブスクリプションのサービスリンクロールを削除する
<a name="delete-service-linked-role-user-subs"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除しようとしたときにユーザーサブスクリプションのサービスでロールが使用されている場合は、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。

**IAM を使用してサービスリンクロールを手動で削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForUserSubscriptions サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## ユーザーサブスクリプションのサービスリンクロールがサポートされているリージョン
<a name="slr-regions-user-subs"></a>

Amazon Q Developer のサブスクリプションでは、このサービスを利用できるすべてのリージョンで、サービスリンクロールの使用がサポートされます。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。

Amazon Q Developer は、サービスを利用できるすべてのリージョンで、サービスリンクロールの使用をサポートしているわけではありません。AWSServiceRoleForUserSubscriptions ロールは、以下のリージョンで使用できます。


****  

| リージョン名 | リージョン識別子 | ユーザーサブスクリプションでのサポート | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) | us-east-1 | はい | 
| 米国西部 (オレゴン)  | us-west-2 | はい | 
| 米国東部 (バージニア北部) | us-east-1 | はい | 
| 米国東部 (オハイオ) | us-east-2 | はい | 
| 米国東部 (オハイオ) | us-east-2 | はい | 
| 米国西部 (北カリフォルニア) | us-west-1 | はい | 
| アジアパシフィック (ムンバイ) | ap-south-1 | はい | 
| アジアパシフィック (大阪) | ap-northeast-3 | はい | 
| アジアパシフィック (ソウル) | ap-northeast-2 | はい | 
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい | 
| アジアパシフィック (シドニー) | ap-southeast-2 | はい | 
| アジアパシフィック (東京) | ap-northeast-1 | はい | 
| カナダ (中部) | ca-central-1 | はい | 
| 欧州 (フランクフルト) | eu-central-1 | はい | 
| 欧州 (アイルランド) | eu-west-1 | はい | 
| 欧州 (ロンドン) | eu-west-2 | はい | 
| 欧州 (パリ) | eu-west-3 | はい | 
| 欧州 (ストックホルム) | eu-north-1 | はい | 
| 南米 (サンパウロ) | sa-east-1 | はい |