CloudTrail で CloudTrail イベントコンテキストを作成および管理するためのロールの使用
AWS CloudTrail では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、CloudTrail によって事前定義されており、お客様の代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可を誤って削除することがなくなり、CloudTrail リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照し、サービスにリンクされたロール列内ではいと表記されたサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。
CloudTrail のサービスにリンクされたロールの許可
CloudTrail は、AWSServiceRoleForCloudTrailEventContext という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、CloudTrail イベントコンテキストと EventBridge ルールを管理するために使用されます。
AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールは、以下のサービスがロールを引き受けることを信頼しています。
-
context.cloudtrail.amazonaws.com
CloudTrailEventContext という名前のロールのアクセス許可ポリシーは、CloudTrail が指定されたリソースで以下のアクションを完了できるようにします。
-
リソースに対するアクションタグ:
-
tag:GetResources
-
-
CloudTrail サービスプリンシパルがルールを作成するためのすべての Amazon EventBridge リソースに対するアクション:
-
events:PutRule
-
-
CloudTrail サービスプリンシパルが作成するルールを管理するための、すべての Amazon EventBridge リソースに対するアクション:
-
events:PutTargets -
events:DeleteRule -
events:RemoveTargets -
events:RemoveTargets
-
-
CloudTrail サービスプリンシパルが作成するルールを記述するための、すべての Amazon EventBridge リソースに対するアクション:
-
events:DescribeRule -
events:DeRegisterResource
-
-
すべての Amazon EventBridge リソースに対するアクション:
-
events:ListRules
-
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。
AWSServiceRoleForCloudTrailEventContext に関連付けられたマネージドポリシーの詳細については、「AWS の マネージドポリシーAWS CloudTrail」を参照してください。
CloudTrail のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール、AWS CLI、または AWS API でコンテキストイベント機能の使用を開始すると、サービスにリンクされたロールが CloudTrail によってユーザーのために作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。コンテキストイベント機能の使用を開始すると、サービスにリンクされたロールが CloudTrail によってユーザーのために作成されます。
CloudTrail のサービスにリンクされたロールの編集
CloudTrail では、AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
CloudTrail の AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールの削除
AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを必要とする機能やサービスが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、TagContext キーをイベントデータストアから削除することで、手動でサービスにリンクされたロールを削除する前に、そのロールのリソースをクリーンアップする必要があります。
注記
リソースを削除しようとする際に、CloudTrail サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールによって使用されている CloudTrail リソースを削除するには
-
ターミナルまたはコマンドラインで、
TagContextキーを削除するイベントストアの put-event-configuration コマンドを実行します。例えば、ARN がarn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111であり、TagContextが唯一のコンテキストキーセレクタである米国東部 (オハイオ) リージョンの111122223333アカウントのイベントストアからTagContextキーを削除するには、--context-key-selectorsの値が指定されていない put-event-configuration コマンドを使用します。aws cloudtrail put-event-configuration --event-data-store arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111--max-event-size Large --context-key-selectors -
パーティション内のすべてのリージョンのすべてのデータストアに対して、このコマンドを繰り返します。詳細については、「Amazon リソースネーム (ARN) で AWS リソースを識別する」を参照してください。
サービスリンクロールを IAM で手動削除するには
WSServiceRoleForCloudTrailEventContext サービスにリンクされたロールは、IAM コンソール、AWS CLI、または AWS API を使用して削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
