翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# App Mesh のサービスリンクロールの使用
<a name="using-service-linked-roles"></a>

**重要**  
サポート終了通知: 2026 年 9 月 30 日、 AWS はサポートを終了します AWS App Mesh。2026 年 9 月 30 日以降、 AWS App Mesh コンソールまたは AWS App Mesh リソースにアクセスできなくなります。詳細については、このブログ記事[「 から Amazon ECS Service Connect AWS App Mesh への移行](https://aws.amazon.com/blogs/containers/migrating-from-aws-app-mesh-to-amazon-ecs-service-connect)」を参照してください。

AWS App Mesh は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、App Mesh に直接リンクされた一意のタイプの IAM ロールです サービスにリンクされたロールは App Mesh によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、App Mesh の設定が簡単になります。App Mesh は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、App Mesh のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーとアクセス許可ポリシーが含まれており、そのアクセス許可ポリシーを他の IAM エンティティに添付することはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへのアクセス許可を不用意に削除することができないため、App Mesh のリソースを保護することができます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。そのサービスに対するサービスリンクロールに関するドキュメントを表示するには、リンク付きの**はい**を選択します。

## App Mesh のサービスリンクロールにおけるアクセス許可
<a name="slr-permissions"></a>

App Mesh は、**AWSServiceRoleForAppMesh** という名前のサービスにリンクされたロールを使用します。このロールにより、App Mesh はユーザーに代わって AWS サービスを呼び出すことができます。

AWSServiceRoleForAppMesh サービスリンクロールは、ロールを継承するために `appmesh.amazonaws.com` サービスを信頼します。

**アクセス許可の詳細**
+ `servicediscovery:DiscoverInstances`‐App Mesh がすべての AWS リソースでアクションを完了できるようにします。
+ `servicediscovery:DiscoverInstancesRevision` - App Mesh がすべての AWS リソースに対してアクションを実行できるようにします。

### AWSServiceRoleForAppMesh
<a name="service-linked-role-permissions-AWSServiceRoleForAppMesh.details"></a>

このポリシーには、以下の権限が含まれています。

------
#### [ JSON ]

****  

```
{
	"Version":"2012-10-17",		 	 	 
	"Statement": [
		{
			"Sid": "CloudMapServiceDiscovery",
			"Effect": "Allow",
			"Action": [
				"servicediscovery:DiscoverInstances",
				"servicediscovery:DiscoverInstancesRevision"
			],
			"Resource": "*"
		},
		{
			"Sid": "ACMCertificateVerification",
			"Effect": "Allow",
			"Action": [
				"acm:DescribeCertificate"
			],
			"Resource": "*"
		}
	]
}
```

------

サービスリンクロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## App Mesh のサービスリンクロールの作成
<a name="create-slr"></a>

、、 AWS マネジメントコンソール AWS CLIまたは AWS API で 2019 年 6 月 5 日以降にメッシュを作成した場合、App Mesh によってサービスにリンクされたロールが作成されます。サービスリンクロールを作成するためには、メッシュの作成に使用した IAM アカウントには、それに添付された [https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/AWSAppMeshFullAccess%24jsonEditor) IAM ポリシー、または `iam:CreateServiceLinkedRole` アクセス許可を含むそれに添付されたポリシーをが必要です。このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。メッシュを作成すると、App Mesh はサービスリンクロールを再度作成します。2019 年 6 月 5 日以前に作成されたメッシュのみがアカウントに含まれており、それらのメッシュでサービスにリンクされたロールを使用する場合は、IAM コンソールを使用してロールを作成できます。

**App Mesh** ユースケースでサービスリンクロールを作成するには、IAM コンソールを使用できます。 AWS CLI または AWS API で、サービス名を使用して`appmesh.amazonaws.com`サービスにリンクされたロールを作成します。詳細については、「IAM ユーザーガイド**」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## App Mesh のサービスリンクロールの編集
<a name="edit-slr"></a>

 で、AWSServiceRoleForAppMesh のサービスリンクロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## App Mesh でのサービスリンクロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除しようとしたときに AppMesh サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForAppMesh が使用している App Mesh リソースを削除するには**

1. メッシュ内のすべてのルータに定義されている[ルート](routes.md)をすべて削除します。

1. メッシュ内の[仮想ルーター](virtual_routers.md)をすべて削します。

1. メッシュ内の[仮想サービス](virtual_services.md)をすべて削します。

1. メッシュ内の[仮想ノード](virtual_nodes.md)をすべて削除します。

1. [メッシュ](meshes.md)を削除します。

アカウント内のすべてのメッシュについて、前の手順を完了します。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAppMesh サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。

## App Mesh サービスリンクロールをサポートするリージョン
<a name="slr-regions"></a>

App Mesh では、このサービスが利用可能なすべてのリージョンで、サービスリンクロールの使用がサポートされています。詳細については、「[App Mesh エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/appmesh.html)」を参照してください。