Aurora DSQL でのサービスリンクロールの使用
Aurora DSQL は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスリンクロールは、Aurora DSQL に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Aurora DSQL によって事前定義されており、サービスがお客様の Aurora DSQL クラスターの代わりに AWS のサービスを呼び出すために必要なアクセス許可がすべて含まれています。
サービスにリンクされたロールは、必要なアクセス許可を手動で追加する必要がないため、セットアッププロセスが簡素化されます。クラスターを作成すると、サービスにリンクされたロールが Aurora DSQL により自動的に作成されます。このサービスにリンクされたロールを削除するには、クラスターをすべて削除する必要があります。これにより、Aurora DSQL リソースへの必要なアクセス許可を不注意に削除することがなくなり、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」の「サービスにリンクされたロール」列が「はい」になっているサービスを検索してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。
サービスにリンクされたロールは、サポートされているすべての Aurora DSQL リージョンで使用できます。
Aurora DSQL のサービスにリンクされたロールのアクセス許可
Aurora DSQL は、AWSServiceRoleForAuroraDsql
という名前のサービスにリンクされたロールを使用します。Amazon Aurora DSQL がユーザーに代わって AWS リソースを作成および管理できるようにします。このサービスにリンクされたロールは、AuroraDsqlServiceLinkedRolePolicy マネージドポリシーにアタッチされます。
注記
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。You don't have the permissions to create an Amazon Aurora DSQL service-linked role
というエラーメッセージが返される場合があります。このメッセージが表示された場合は、次のアクセス許可が有効であることを確認します。
{ "Sid" : "CreateDsqlServiceLinkedRole", "Effect" : "Allow", "Action" : "iam:CreateServiceLinkedRole", "Resource" : "*", "Condition" : { "StringEquals" : { "iam:AWSServiceName" : "dsql.amazonaws.com" } } }
詳細については、「サービスにリンクされたロールのアクセス許可」を参照してください。
サービスにリンクされたロールの作成
AuroraDSQLServiceLinkedRolePolicy サービスにリンクされたロールを手動で作成する必要はありません。Aurora DSQL は、サービスにリンクされたロールを自動的に作成します。AuroraDSQLServiceLinkedRolePolicy サービスにリンクされたロールがアカウントから削除されている場合、新しい Aurora DSQL クラスターを作成すると、Aurora DSQL がロールを作成します。
サービスにリンクされたロールの編集
Aurora DSQL では、AuroraDSQLServiceLinkedRolePolicy サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、ロールの説明は IAM コンソール、AWS Command Line Interface (AWS CLI)、または IAM API を使用して編集することができます。
サービスにリンクされたロールを削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。
アカウントのサービスにリンクされたロールを削除するには、アカウントのクラスターを削除する必要があります。
サービスにリンクされたロールは、IAM コンソール、AWS CLI、 IAM API を使用して削除することができます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。
Aurora DSQL のサービスにリンクされたロールをサポートするリージョン
Aurora DSQL は、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。