Direct Connect のサービスにリンクされたロール
AWS Direct Connect では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、Direct Connect に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、Direct Connect による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべての権限を備えています。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Direct Connect の設定が簡単になります。このサービスリンクロールのアクセス許可は Direct Connect で定義します。特に定義されている場合を除き、Direct Connect のみがそのロールを引き受けることができます。定義された権限には、信頼ポリシーと権限ポリシーに含まれており、その権限ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへの意図しないアクセスによるアクセス許可の削除が防止され、Direct Connect リソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」を参照して、[サービスにリンクされたロール] 列で [はい] になっているサービスを見つけます。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。
Direct Connect のサービスリンクロールのアクセス許可
Direct Connect は、 という名前のサービスリンクロールを使用します。AWSServiceRoleForDirectConnectこれは、Direct Connect が、AWS Secrets Manager に保存されている MACSec シークレットをユーザーに代わって取得できるようにします。
AWSServiceRoleForDirectConnect サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。
-
directconnect.amazonaws.com
AWSServiceRoleForDirectConnect サービスにリンクされたロールは、マネージドポリシーである AWSDirectConnectServiceRolePolicy を使用します。
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。AWSServiceRoleForDirectConnect サービスリンクロールが適切に作成されるようにするには、Direct Connect で使用する IAM アイデンティティに必要な許可が付与されている必要があります。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。
詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。
Direct Connect のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS Direct Connect がユーザーに代わってサービスリンクロールを作成します。associate-mac-sec-key コマンドを実行すると、AWS は、Direct Connect が AWS マネジメントコンソール、AWS CLI、または AWS API を使用して、AWS Secrets Manager に保存されている MACsec シークレットをユーザーに代わって取得できるようにするサービスリンクロールを作成します。
重要
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。
このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合にも、アカウントでのロールの再作成は同様な方法で行えます。サービスにリンクされたロールが、Direct Connect により自動的に作成されます。
IAM コンソールを使用して、AWS Direct Connect ユースケースでのサービスリンクロールを作成することもできます。AWS CLI または AWS API で、サービスにリンクされたロールをサービス名 (directconnect.amazonaws.com) で作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスにリンクされたロールを削除する場合、この同じプロセスを使用して、もう一度ロールを作成できます。
Direct Connect のサービスにリンクされたロールの編集
Direct Connect では、AWSServiceRoleForDirectConnect のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。
Direct Connect のサービスリンクロールの削除
AWSServiceRoleForDirectConnect ロールを手動で削除する必要はありません。サービスリンクロールを削除するときは、AWS Secrets Manager ウェブサービスに保存されているすべての関連リソースを削除する必要があります。AWS マネジメントコンソール、AWS CLI、 AWS API、または Direct Connect がユーザーに代わってリソースをクリーンアップし、サービスリンクロールを削除します。
サービスリンクロールは、IAM コンソールを使用して削除することもできます。これを実行するには、まずサービスリンクロールのリソースをクリーンアップする必要があります。その後、サービスリンクロールを手動で削除することができます。
注記
リソースの削除試行時に Direct Connect サービスがサービスリンクロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
AWSServiceRoleForDirectConnect で使用されている Direct Connect リソースを削除するには
-
すべての MACsec キーと接続間の関連付けを削除します。詳細については、「MACsec シークレットキーと Direct Connect 接続の間の関連付けを解除する」を参照してください
-
すべての MACsec キーと LAG 間の関連付けを削除します。詳細については、「MACsec シークレットキーと Direct Connect エンドポイント LAG の間の関連付けを解除する」を参照してください
IAM を使用してサービスリンクロールを手動で削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForDirectConnect サービスリンクロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
Direct Connect のサービスリンクロールをサポートするリージョン
Direct Connect は、MAC セキュリティ機能が利用可能になっているすべての AWS リージョンでサービスリンクロールの使用をサポートしています。詳細については、「AWS Direct Connect ロケーション
