

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudTrail で CloudTrail イベントコンテキストを作成および管理するためのロールの使用
<a name="using-service-linked-roles-create-slr-for-context-management"></a>

AWS CloudTrail は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudTrail によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可を誤って削除することがなくなり、CloudTrail リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。

## CloudTrail のサービスにリンクされたロールの許可
<a name="service-linked-role-permissions-create-slr-for-context-management"></a>

CloudTrail は、**AWSServiceRoleForCloudTrailEventContext** という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、CloudTrail イベントコンテキストと EventBridge ルールを管理するために使用されます。

AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールは、以下のサービスがロールを引き受けることを信頼しています。
+ `context.cloudtrail.amazonaws.com`

CloudTrailEventContext という名前のロールのアクセス許可ポリシーは、CloudTrail が指定されたリソースで以下のアクションを完了できるようにします。
+ リソースに対するアクションタグ:
  + `tag:GetResources`
+ CloudTrail サービスプリンシパルがルールを作成するためのすべての Amazon EventBridge リソースに対するアクション:
  + `events:PutRule`
+ CloudTrail サービスプリンシパルが作成するルールを管理するための、すべての Amazon EventBridge リソースに対するアクション: 
  + `events:PutTargets`
  + `events:DeleteRule`
  + `events:RemoveTargets`
  + `events:RemoveTargets`
+ CloudTrail サービスプリンシパルが作成するルールを記述するための、すべての Amazon EventBridge リソースに対するアクション:
  + `events:DescribeRule`
  + `events:DeRegisterResource`
+ すべての Amazon EventBridge リソースに対するアクション:
  + `events:ListRules`

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

AWSServiceRoleForCloudTrailEventContext に関連付けられたマネージドポリシーの詳細については、「[AWS の 管理ポリシー AWS CloudTrail](security-iam-awsmanpol.md)」を参照してください。

## CloudTrail のサービスにリンクされたロールの作成
<a name="create-service-linked-role-create-slr-for-context-management"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API でコンテキストイベント機能の使用を開始すると、CloudTrail によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。コンテキストイベント機能の使用を開始すると、サービスにリンクされたロールが CloudTrail によってユーザーのために作成されます。

## CloudTrail のサービスにリンクされたロールの編集
<a name="edit-service-linked-role-create-slr-for-context-management"></a>

CloudTrail では、AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## CloudTrail の AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールの削除
<a name="delete-service-linked-role-create-slr-for-context-management"></a>

AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを必要とする機能やサービスが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、TagContext キーをイベントデータストアから削除することで、手動でサービスにリンクされたロールを削除する前に、そのロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除しようとする際に、CloudTrail サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールによって使用されている CloudTrail リソースを削除するには**

1. ターミナルまたはコマンドラインで、`TagContext` キーを削除するイベントストアの **put-event-configuration** コマンドを実行します。例えば、ARN が {{arn:aws:cloudtrail:us-east-2:111122223333:eventdatastore/a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}} であり、`TagContext` が唯一のコンテキストキーセレクタである米国東部 (オハイオ) リージョンの {{111122223333}} アカウントのイベントストアから `TagContext` キーを削除するには、`--context-key-selectors` の値が指定されていない **put-event-configuration** コマンドを使用します。

   ```
    aws cloudtrail put-event-configuration --event-data-store arn:aws:cloudtrail:{{us-east-2}}:{{111122223333}}:eventdatastore/{{a1b2c3d4-5678-90ab-cdef-EXAMPLE11111}} --max-event-size Large --context-key-selectors
   ```

1. パーティション内のすべてのリージョンのすべてのデータストアに対して、このコマンドを繰り返します。詳細については、[「Amazon AWS リソースネーム (ARNs](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference-arns.html)」を参照してください。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrailEventContext サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。