CloudTrail のサービスにリンクされたロールの許可 CloudTrail のサービスにリンクされたロールの作成 CloudTrail のサービスにリンクされたロールの編集 CloudTrail のサービスにリンクされたロールの削除

CloudTrail で CloudTrail の組織の証跡および CloudTrail Lake の組織イベントデータストアを作成および管理するためのロールの使用

AWS CloudTrail では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、CloudTrail によって事前定義されており、お客様の代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可を誤って削除することがなくなり、CloudTrail リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照し、サービスにリンクされたロール列内ではいと表記されたサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。

CloudTrail のサービスにリンクされたロールの許可

CloudTrail は、AWSServiceRoleForCloudTrail という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、組織の証跡と組織イベントデータストアをサポートするために使用されます。

サービスにリンクされた AWSServiceRoleForCloudTrail ロールは、以下のサービスを信頼してロールを引き受けます。

cloudtrail.amazonaws.com

CloudTrailServiceRolePolicy という名前のロールのアクセス許可ポリシーは、CloudTrail が指定されたリソースで以下のアクションを完了できるようにします。

すべての CloudTrail リソースに対するアクション:
- All
すべての AWS Organizations リソースでのアクション:
- organizations:DescribeAccount
- organizations:DescribeOrganization
- organizations:ListAccounts
- organizations:ListAWSServiceAccessForOrganization
組織の委任された管理者を一覧表示するための、CloudTrail サービスプリンシパルのすべての Organizations リソースでのアクション:
- organizations:ListDelegatedAdministrators
組織のイベントデータストアで Lake フェデレーションを無効にするアクション:
- glue:DeleteTable
- lakeformation:DeRegisterResource

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

AWSServiceRoleForCloudTrail に関連付けられたマネージドポリシーの詳細については、「AWS のマネージドポリシーAWS CloudTrail」を参照してください。

CloudTrail のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。組織の証跡または組織イベントデータストアを作成するか、CloudTrail コンソールで、あるいは AWS マネジメントコンソール、AWS CLI、または AWS API で委任管理者を追加すると、サービスにリンクされたロールが CloudTrail によってユーザーのために作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。組織の証跡または組織イベントデータストアを作成するか、CloudTrail コンソールで委任管理者を追加すると、サービスにリンクされたロールが CloudTrail によって再度ユーザーのために作成されます。

CloudTrail のサービスにリンクされたロールの編集

CloudTrail では、サービスにリンクされた AWSServiceRoleForCloudTrail ロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

CloudTrail のサービスにリンクされたロールの削除

AWSServiceRoleForCloudTrail ロールを手動で削除する必要はありません。AWS アカウントが Organizations 組織から削除された場合、AWSServiceRoleForCloudTrail ロールはその AWS アカウントから自動的に削除されます。組織の管理アカウントの AWSServiceRoleForCloudTrail サービスリンクロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。

サービスリンクロールは、IAM コンソール、AWS CLI、または AWS API を使用して手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。

注記

リソースを削除する際に、CloudTrail サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。

Organizations の組織から AWS アカウントを削除します。
証跡を更新し、組織の証跡を停止させる必要があります。詳細については、「CloudTrail コンソールで証跡を更新する」を参照してください。
イベントデータストアを組織のイベントデータストアではなくなるように更新します。詳細については、「コンソールでイベントデータストアを更新する」を参照してください。
証跡を削除します。詳細については、「CloudTrail コンソールで証跡を削除する」を参照してください。
イベントデータストアを削除します。詳細については、「コンソールでイベントデータストアを削除する」を参照してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrail サービスリンクロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービスにリンクされたロールの使用

イベントコンテキストロール