AWS サポート のサービスにリンクされたロールの使用 - AWS サポート
サポート のサービスリンクロールのアクセス許可サポート のサービスリンクロールの作成サポート のサービスにリンクされたロールの編集と削除

AWS サポート のサービスにリンクされたロールの使用

AWS サポート ツールは API コールを使用してご使用の AWS リソースに関する情報を収集し、カスタマーサービスやテクニカルサポートを提供します。サポートアクティビティの透明性と監査可能性を高めるため、サポート では AWS Identity and Access Management (IAM) サービスにリンクされたロールが使用されます。

AWSServiceRoleForSupport サービスにリンクされたロールは、サポート に直接リンクされた一意の IAM ロールです。このサービスにリンクされたロールは事前定義済みであり、サポート がユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可が含まれています。

AWSServiceRoleForSupport サービスにリンクされたロールは、ロールを継承するために support.amazonaws.com のサービスを信頼します。

これらのサービスを提供するために、ロールの事前定義済みアクセス権限によって、サポート に対し、リソースメタデータ (お客様のデータではなく) にアクセスする権限が付与されます。このロールを引き受けることができるのは、サポート アカウント内に存在する AWS ツールのみです。

お客様データを含む可能性のあるフィールドを修正します。例えば、AWS Step Functions API コールの GetExecutionHistoryInput および Output フィールドは、サポート からは見えません。AWS KMS keys を使用して機密フィールドを暗号化します。これらのフィールドは API レスポンスでマスキングされます。AWS サポート エージェントには表示されません。

注記

AWS Trusted Advisor では、個別の IAM サービスにリンクされたロールを使用して、アカウントの AWS リソースにアクセスし、ベストプラクティスのレコメンデーションやチェックを提供します。詳細については、「Trusted Advisor のサービスにリンクされたロールの使用」を参照してください。

AWSServiceRoleForSupport サービスにリンクされたロールを使用すると、すべての AWS サポート API コールが AWS CloudTrail を介してお客様に表示されます。これにより、サポート がお客様に代わって実行するアクションを理解する透明性の高い方法が提供されることで、要件のモニタリングおよび監査に役立ちます。CloudTrail の詳細については、AWS CloudTrail ユーザーガイドを参照してください。

サポート のサービスリンクロールのアクセス許可

このロールでは AWSSupportServiceRolePolicy AWS マネージドポリシーを使用します。このマネージドポリシーがロールにアタッチされ、ユーザーに代わってがアクションを完了するためのアクセス許可がロールに付与されます。

これらのアクションには以下が含まれます。

  • 請求、管理、サポート、およびその他のカスタマーサービス – AWS カスタマーサービスは、マネージドポリシーによって付与されたアクセス許可を使用して、お客様のサポートプランの一部としてさまざまなサービスを実行します。アカウントと請求に関するご質問に対する調査および回答、アカウントの管理サポートの提供、サービスクォータの緩和、その他のカスタマーサポートの提供などがあります。

  • AWS アカウントのサービス属性と使用状況データの処理 – サポート は、マネージドポリシーによって付与されたアクセス許可を使用して、お客様の AWS アカウントのサービス属性と使用状況データにアクセスすることがあります。このポリシーでは、サポート がお客様のアカウントに請求、管理、技術サポートを提供することを許可します。サービス属性には、お客様のアカウントのリソース識別子、メタデータタグ、ロール、アクセス権限が含まれます。使用状況データには、試用ポリシー、使用統計、および分析が含まれます。

  • アカウントとそのリソースのオペレーション状態の維持 - サポート は自動化されたツールを使用して、オペレーションサポートおよびテクニカルサポートに関連するアクションを実行します。

許可されたサービスとアクションの詳細については、IAM コンソールのAWSSupportServiceRolePolicy ポリシーを参照してください。

注記

AWS サポート は、AWSSupportServiceRolePolicy ポリシーを 1 か月に 1 回自動的に更新して、新しい AWS サービスとアクションのアクセス許可を追加します。

詳細については、「AWS 用の管理ポリシーAWS サポート」を参照してください。

サポート のサービスリンクロールの作成

AWSServiceRoleForSupport ロールを手動で作成する必要はありません。AWS アカウントを作成すると、このロールが自動的に作成および設定されます。

重要

サービスにリンクされたロールのサポートが開始されるより以前に サポート を使用していた場合は、AWS によって AWSServiceRoleForSupport ロールがアカウントに作成されています。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

サポート のサービスにリンクされたロールの編集と削除

AWSServiceRoleForSupport サービスにリンクされたロールの説明は、IAM を使用して編集できます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

AWSServiceRoleForSupport ロールは、サポート がお客様のアカウントの管理、オペレーション、技術的なサポートを提供するために必要です。従って、このロールは IAM コンソール、API、または AWS Command Line Interface (AWS CLI) を使用して削除することはできません。これにより、サポートの各サービスを管理するのに必要なアクセス権限を誤って削除することがなくなり、AWS アカウントが保護されます。

AWS Organizations にオンボードされ、エンタープライズサポートプランをご利用のお客様は、AWSServiceRoleForSupport サービスにリンクされたロールを削除できます。このロールを削除すると、AWS サポートエンジニアによるリソースへのアクセスと、ユーザーに代わってアクションを実行する能力が制限されます。詳細について、または AWSServiceRoleForSupport サービスにリンクされたロールの削除のリクエストについては、テクニカルアカウントマネージャー (TAM) にお問い合わせください。

AWSServiceRoleForSupport ロールまたはそのユーザーの詳細については、サポート にお問い合わせください。