翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のサービスにリンクされたロール AWS CloudHSM
<a name="service-linked-roles"></a>

以前に に作成した IAM ポリシーには、`iam:CreateServiceLinkedRole`action. AWS CloudHSM defines a [service-linked role](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) named **AWSServiceRoleForCloudHSM** [のカスタマー管理ポリシー AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm)が含まれています。ロールは によって事前定義 AWS CloudHSM されており、ユーザーに代わって他の AWS サービスを呼び出す AWS CloudHSM ために必要なアクセス許可が含まれています。ロールは、ロールポリシーと信頼ポリシーのアクセス許可を手動で追加する必要がないため、サービスを簡単に設定できます。

ロールポリシーにより AWS CloudHSM 、 はユーザーに代わって Amazon CloudWatch Logs ロググループとログストリームを作成し、ログイベントを書き込むことができます。これは以下と IAM コンソールで確認できます。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}
```

------

**AWSServiceRoleForCloudHSM** ロールの信頼ポリシーにより AWS CloudHSM 、 はロールを引き受けることができます。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudhsm.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}
```

------

## サービスにリンクされたロールを作成する (自動)
<a name="create-slr-auto"></a>

AWS CloudHSM は、 AWS CloudHSM 管理者グループの作成時に定義したアクセス許可に `iam:CreateServiceLinkedRole`アクションを含めると、クラスターの作成時に **AWSServiceRoleForCloudHSM** ロールを作成します。「[のカスタマー管理ポリシー AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm)」を参照してください。

クラスターがすでに 1 つ以上あり、**AWSServiceRoleForCloudHSM** ロールを作成する場合は、コンソール、[create-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html) コマンド、または API の [CreateCluster](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html) オペレーションを使用してクラスターを作成します。続いて、コンソール、[delete-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/delete-cluster.html) コマンド、または API の [DeleteCluster](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DeleteCluster.html) オペレーションを使用してクラスターを削除します。新しいクラスターを作成すると、サービスにリンクされたロールが作成され、アカウントのすべてのクラスターに適用されます。または、ロールを手動で作成することもできます。詳細については、次の「」セクションを参照してください。

**注記**  
**AWSServiceRoleForCloudHSM** ロールを追加するためだけにクラスターを作成する場合は、「[の開始方法 AWS CloudHSM](getting-started.md)」に記載されているすべての手順を実行してクラスターを作成する必要はありません。

## サービスにリンクされたロールを作成する (手動)
<a name="create-slr-manual"></a>

IAM コンソール AWS CLI、または API を使用して、**AWSServiceRoleForCloudHSM** ロールを作成できます。詳細については、「IAM ユーザーガイド**」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

## サービスにリンクされたロールを編集する
<a name="edit-slr"></a>

AWS CloudHSM では、**AWSServiceRoleForCloudHSM** ロールを編集することはできません。たとえば、ロールの作成後、さまざまなエンティティが名前でロールを参照する可能性があるため、名前を変更することはできません。また、ロールのポリシーを変更することもできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## サービスリンクロールの削除
<a name="delete-slr"></a>

サービスにリンクされたロールは、適用されたクラスターが存在する限り削除できません。ロールを削除するには、まずクラスター内の各 HSM を削除してからクラスターを削除する必要があります。アカウント内のすべてのクラスターを削除する必要があります。その後、IAM コンソール AWS CLI、または API を使用してロールを削除できます。クラスターの削除の詳細については、「[AWS CloudHSM クラスターの削除](delete-cluster.md)」を参照してください。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。