翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
CloudTrail での CloudTrail イベントコンテキストの作成と管理にロールを使用する
AWS CloudTrail は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudTrail によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可が誤って削除されないため、CloudTrail リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」を持つサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。
CloudTrail のサービスにリンクされたロールの許可
CloudTrail は、AWSServiceRoleForCloudTrailEventContext という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、CloudTrail イベントコンテキストと EventBridge ルールの管理に使用されます。
AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
context.cloudtrail.amazonaws.com
CloudTrailEventContext という名前のロールアクセス許可ポリシーにより、CloudTrail は指定されたリソースに対して次のアクションを実行できます。
-
リソースタグに対するアクション:
-
tag:GetResources
-
-
CloudTrail サービスプリンシパルがルールを作成するためのすべての Amazon EventBridge リソースに対するアクション:
-
events:PutRule
-
-
CloudTrail サービスプリンシパルが作成するルールを管理するための、すべての Amazon EventBridge リソースに対するアクション:
-
events:PutTargets -
events:DeleteRule -
events:RemoveTargets -
events:RemoveTargets
-
-
CloudTrail サービスプリンシパルが作成するルールを記述するための、すべての Amazon EventBridge リソースに対するアクション:
-
events:DescribeRule -
events:DeRegisterResource
-
-
すべての Amazon EventBridge リソースに対するアクション:
-
events:ListRules
-
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。
AWSServiceRoleForCloudTrailEventContext に関連付けられた管理ポリシーの詳細については、「」を参照してくださいAWS の 管理ポリシー AWS CloudTrail。
CloudTrail のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API でコンテキストイベント機能の使用を開始すると、CloudTrail によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。コンテキストイベント機能の使用を開始すると、CloudTrail はサービスにリンクされたロールを再度作成します。
CloudTrail のサービスにリンクされたロールの編集
CloudTrail では、AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
CloudTrail の AWSServiceRoleForCloudTrailEventContext サービスリンクロールの削除
AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを必要とする機能またはサービスを使用する必要がなくなった場合は、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、イベントデータストアから TagContext キーを削除して手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。
注記
リソースを削除しようとしたときに CloudTrail サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForCloudTrail EventContextサービスにリンクされたロールで使用される CloudTrail リソースを削除するには AWSServiceRoleForCloudTrailEventContext
-
ターミナルまたはコマンドラインで、
TagContextキーを削除するイベントストアの put-event-configuration コマンドを実行します。たとえば、ARN がarn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111である米国東部 (オハイオ) リージョンの111122223333アカウントのイベントストアからTagContextキーを削除するには、 が唯一のコンテキストキーセレクタTagContextである put-event-configuration コマンドを使用します--context-key-selectors。aws cloudtrail put-event-configuration --event-data-store arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111--max-event-size Large --context-key-selectors -
パーティション内のすべてのリージョンのすべてのデータストアに対して、このコマンドを繰り返します。詳細については、「Amazon AWS リソースネーム (ARNs」を参照してください。
サービスリンクロールを IAM で手動削除するには
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
