のサービスにリンクされたロールの使用AWS Config - AWS Config
のサービスにリンクされたロールのアクセス許可AWS Configのサービスにリンクされたロールの作成AWS Configのサービスにリンクされたロールの編集AWS Configのサービスにリンクされたロールの削除AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスにリンクされたロールの使用AWS Config

AWS ConfigはAWS Identity and Access Management(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールですAWS Config。サービスにリンクされたロールは によって事前定義AWS Configされており、サービスがユーザーに代わって他のAWSサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定AWS Configが簡単になります。 は、サービスにリンクされたロールのアクセス許可AWS Configを定義します。特に定義されている場合を除き、 のみがそのロールを引き受けAWS Configることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスリンクロールをサポートする他のサービスについては、IAM と連携するAWSのサービスを参照して、[サービスにリンクされたロール] 列が [はい] になっているサービスを探してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。

のサービスにリンクされたロールのアクセス許可AWS Config

AWS Configは AwsServiceRoleForConfig という名前のサービスにリンクされたロールAWS Configを使用します。このサービスにリンクされたロールを使用して、ユーザーに代わって他のAWSサービスを呼び出します。最新の更新を確認するには、「AWS ConfigAWS管理ポリシーの更新」を参照してください。

AwsServiceRoleForConfig サービスリンクロールは、config.amazonaws.com サービスを信頼し、ロールを引き受けます。

AwsServiceRoleForConfig ロールのアクセス許可ポリシーには、AWS Configリソースの読み取り専用アクセス許可と書き込みアクセス許可、および がAWS Configサポートする他の サービスのリソースの読み取り専用アクセス許可が含まれています。AwsServiceRoleForConfig の管理ポリシーを確認するには、「AWS ConfigのAWS管理ポリシー」を参照してください。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。

でサービスにリンクされたロールを使用するにはAWS Config、Amazon S3 バケットと Amazon SNS トピックに対するアクセス許可を設定する必要があります。詳細についてはサービスでリンクされたロールの使用時に Amazon S3 バケットに必要なアクセス許可サービスにリンクされたロールを使用する場合のAWS KMSキーに必要なアクセス許可 (S3 バケット配信)、およびサービスでリンクされたロールを使用する際 Amazon SNS トピックに必要なアクセス許可を参照してください。

のサービスにリンクされたロールの作成AWS Config

IAM CLI または IAM API で、config.amazonaws.com サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

のサービスにリンクされたロールの編集AWS Config

AWS Configでは、AwsServiceRoleForConfig サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

のサービスにリンクされたロールの削除AWS Config

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときにAWS Configサービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AwsServiceRoleForConfig が使用するAWS Configリソースを削除するには

サービスにリンクされたロールを使用して、ConfigurationRecorders がないことを確認します。AWS Configコンソールを使用して設定レコーダーを停止できます。記録を停止するには、[Recording is on] (記録はオン) の [Turn off] (無効) を選択します。

AWS Config API ConfigurationRecorderを使用して を削除できます。削除するには、delete-configuration-recorder コマンドを使用します。


        $ aws configservice delete-configuration-recorder --configuration-recorder-name default

サービスリンクロールを IAM で手動削除するには

IAM コンソール、IAM CLI、または IAM API を使用して、AwsServiceRoleForConfig サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。