Trusted Advisor のサービスにリンクされたロールの使用
AWS Trusted Advisor は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS Trusted Advisor に直接リンクされた一意の IAM ロールです。サービスにリンクされたロールは Trusted Advisor によって事前に定義され、ユーザーの代理で他の AWS のサービスを呼び出すすべてのアクセス許可を含みます。Trusted Advisor は、このロールを使用して AWS 全体にわたる使用状況をチェックし、AWS 環境を向上させるためのレコメンデーションを提供します。例えば、Trusted Advisor はコストの削減、パフォーマンスの向上、障害耐性の向上、およびセキュリティの向上を推進するために Amazon Elastic Compute Cloud (Amazon EC2)インスタンスの使用状況を分析します。
注記
AWS サポート は個別の IAM サービスにリンクされたロールを使用してアカウントのリソースにアクセスし、請求サービス、管理サービス、サポートサービスを提供します。詳細については、「AWS サポート のサービスにリンクされたロールの使用」を参照してください。
サービスにリンクされたロールをサポートするその他のサービスの詳細については、「IAM と連携する AWS のサービス」を参照してください。サービスにリンクされたロール列が「はい」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、リンク付きの [Yes] (はい) を選択します。
トピック
Trusted Advisor のサービスリンクロールのアクセス許可
Trusted Advisor は 2 つのサービスにリンクされたロールを使用します。
-
AWSServiceRoleForTrustedAdvisor
— このロールは Trusted Advisor サービスを信頼して、ロールがユーザーの代理として AWS のサービスにアクセスするロールを継承します。ロールのアクセス許可ポリシーは、すべての AWS に対する Trusted Advisor の読み取り専用アクセスを許可します。このロールを使用すると、必要なアクセス権限を AWS に追加する必要がなくなるため、Trusted Advisor アカウントの使用開始が簡素化されます。AWS アカウントを開くと、このロールが Trusted Advisor によって作成されます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。その他の IAM エンティティにアクセス許可ポリシーをアタッチすることはできません。 アタッチされたポリシーの詳細については、「AWSTrustedAdvisorServiceRolePolicy」を参照してください。
-
AWSServiceRoleForTrustedAdvisorReporting
— このロールは Trusted Advisor サービスを信頼して、組織ビュー機能のロールを継承します。このロールは、お客様の AWS Organizations 組織の信頼されたサービスとして Trusted Advisor を有効にします。組織ビューを有効にすると、このロールが Trusted Advisor によって作成されます。 アタッチされたポリシーの詳細については、「AWSTrustedAdvisorReportingServiceRolePolicy」を参照してください。
組織ビューを使用して、組織内のすべてのアカウントの Trusted Advisor チェック結果のレポートを作成できます。この機能の詳細については、「AWS Trusted Advisor の組織ビュー」を参照してください。
サービスにリンクされたロールのアクセス許可の管理
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。次の例では、AWSServiceRoleForTrustedAdvisor サービスリンクロールを使用します。
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールを作成することを許可します
このステップは、Trusted Advisor アカウントが無効化されサービスにリンクされたロールが削除されており、ユーザーが Trusted Advisor を再度有効にするためにロールを再作成する必要がある場合にのみ必要です。
サービスにリンクされたロールを作成する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールの説明を編集することを許可します
説明できるのは、AWSServiceRoleForTrustedAdvisor ロールの説明のみです。サービスにリンクされたロールの説明を編集する IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールを削除することを許可します
サービスにリンクされたロールを削除する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
または、AdministratorAccess
Trusted Advisor のサービスリンクロールの作成
AWSServiceRoleForTrustedAdvisor サービスリンクロールを手動で作成する必要はありません。AWS を作成すると、サービスにリンクされたロールが Trusted Advisor によって作成されます。
重要
サービスにリンクされたロールのサポートが開始される前に Trusted Advisor サービスを使用していた場合は、Trusted Advisor によって、AWSServiceRoleForTrustedAdvisor ロールが既にアカウントに作成されています。詳細については、IAM ユーザーガイドの「IAM アカウントに新しいロールが表示される」を参照してください。
お客様のアカウントに AWSServiceRoleForTrustedAdvisor サービスリンクロールが設定されていない場合、Trusted Advisor が想定どおりに動作しません。これは、アカウント内のユーザーが Trusted Advisor を無効にした後、サービスにリンクされたロールを削除した場合に発生することがあります。その場合は、IAM を使用して AWSServiceRoleForTrustedAdvisor サービスリンクロールを作成してから、Trusted Advisor を有効にします。
Trusted Advisor を有効にするには (コンソール)
-
Trusted Advisor のサービスにリンクされたロールを作成するには、IAM コンソール、AWS CLI、または IAM API を使用します。詳細については、「サービスにリンクされたロールの作成」を参照してください。
-
AWS マネジメントコンソールにサインインし、Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor
) に移動します。 [無効な Trusted Advisor] ステータスバナーがコンソールに表示されます。
-
ステータスバナーから [Trusted Advisor ロールを有効にする] を選択します。必要な
AWSServiceRoleForTrustedAdvisorが検出されない場合は、無効ステータスバナーが表示されたままになります。
Trusted Advisor のサービスにリンクされたロールの編集
さまざまなエンティティから参照される可能性があるため、サービスにリンクされたロールの名前を変更することはできません。ただし、IAM コンソール、AWS CLI、または IAM API を使用してロールの説明を編集することができます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。
Trusted Advisor のサービスリンクロールの削除
Trusted Advisor の機能またはサービスが必要ない場合は、AWSServiceRoleForTrustedAdvisor ロールを削除できます。このサービスにリンクされたロールを削除する前に、Trusted Advisor を無効にする必要があります。これにより、Trusted Advisor オペレーションに必要なアクセス権限の削除を防止します。Trusted Advisor を無効にすると、オフライン処理や通知などを含むサービスの機能がすべて無効になります。また、メンバーアカウントに対して Trusted Advisor を無効にすると、別の支払いアカウントも影響を受けます。つまり、コストを削減する方法を特定する Trusted Advisor チェックは実行されません。Trusted Advisor コンソールにはアクセスできません。Trusted Advisor への API コールは、アクセス拒否エラーを返します。
Trusted Advisor を再度有効化するには、AWSServiceRoleForTrustedAdvisor サービスリンクロールを再作成する必要があります。
AWSServiceRoleForTrustedAdvisor サービスリンクロールを削除するには、コンソールで Trusted Advisor を無効にする必要があります。
Trusted Advisor を無効にするには
-
AWS マネジメントコンソールにサインインし、Trusted Advisor コンソール (https://console.aws.amazon.com/trustedadvisor
) に移動します。 -
ナビゲーションペインで [設定] を選択します。
-
[Service Linked Role Permissions (サービスにリンクされたロールのアクセス許可)] セクションで、[Disable Trusted Advisor (無効にする)] を選択します。
-
確認ダイアログボックスで、[OK] を選択して、Trusted Advisor を無効にすることを確認します。
Trusted Advisor を無効化すると、すべての Trusted Advisor 機能が無効になり、Trusted Advisor コンソールには無効ステータスバナーのみが表示されます。
その後、IAM コンソール、AWS CLI、または IAM API を使用して、AWSServiceRoleForTrustedAdvisor という名前の Trusted Advisor サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
