Detective のサービスリンクロールの使用 - Amazon Detective
Detective のサービスリンクロールにおけるアクセス許可Detective のサービスリンクロールの作成Detective のサービスリンクロールの編集Detective のサービスリンクロールの削除Detective のサービスリンクロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective のサービスリンクロールの使用

Amazon Detective は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスリンクロールは、Detective に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Detective によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスリンクロールを使用すると、必要な設定を手動で追加する必要がないため、 Detective の設定が簡単になります。Detective は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Detective のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、Detective リソースへの意図しないアクセスによる許可の削除が防止され、 リソースは保護されます。

サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」で「サービスリンクロール」列が「はい」になっているサービスを検索してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「はい」のリンクをクリックします。

Detective のサービスリンクロールにおけるアクセス許可

Detective は、AWSServiceRoleForDetective という名前のサービスにリンクされたロールを使用します – Detective がユーザーに代わって AWS Organizations 情報にアクセスできるようにします。

サービスリンクロール AWSServiceRoleForDetective は、このロールを引き受ける次のサービスを信頼します。

  • detective.amazonaws.com

サービスリンクロール AWSServiceRoleForDetective は、マネージドポリシー AmazonDetectiveServiceLinkedRolePolicy を使用します。

AmazonDetectiveServiceLinkedRolePolicy ポリシーの更新の詳細については、「Amazon Detective updates to AWS managed policies」を参照してください。このポリシーの変更に関する自動アラートについては、Detective ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスリンクロールのアクセス権限) を参照してください。

Detective のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で組織の Detective 管理者アカウントを指定すると、Detective はサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。組織の Detective 管理者アカウントを指定すると、Detective により、サービスリンクロールが再び自動的に作成されます。

Detective のサービスリンクロールの編集

Detective で、サービスリンクロール AWSServiceRoleForDetective を編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Detective のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Detective のサービスでこのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForDetective が使用している Detective リソースを削除するには

  1. Detective 管理者アカウントを削除します。「組織の Detective 管理者の指定」を参照してください。

  2. Detective 管理者アカウントを指定した各リージョンでこのプロセスを繰り返します。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForDetective サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。

Detective のサービスリンクロールをサポートするリージョン

Detective は、Detective サービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。