のサービスにリンクされたロールの使用 Directory Service - AWS Directory Service
のサービスにリンクされたロールのアクセス許可 Directory Serviceのサービスにリンクされたロールの作成 Directory Serviceのサービスにリンクされたロールの編集 Directory Serviceのサービスにリンクされたロールの削除 Directory ServiceDirectory Service サービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスにリンクされたロールの使用 Directory Service

AWS Directory Service は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです Directory Service。サービスにリンクされたロールは によって事前定義 Directory Service されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 Directory Service が簡単になります。 は、サービスにリンクされたロールのアクセス許可 Directory Service を定義します。特に定義されている場合を除き、 のみがそのロールを引き受け Directory Service ることができます。定義されたアクセス許可には、他の IAM エンティティにアタッチできない信頼ポリシーとアクセス許可ポリシーが含まれます。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、 Directory Service リソースへのアクセス許可を誤って削除することがないため、リソースへのアクセスが失われるのを防ぐことができます。

サービスにリンクされたロールをサポートするその他のサービスの詳細については、「IAM と連携するAWS のサービス」を参照してください。

のサービスにリンクされたロールのアクセス許可 Directory Service

Directory Service は、AWSServiceRoleForDirectoryService という名前のサービスにリンクされたロールを使用します。 AWS がお客様のセルフマネージドドメインコントローラーをモニタリングできるようにします。

サービスリンクロール [AWSServiceRoleForDirectoryService] は、次のサービスを信頼してそのロールを引き受けます。

  • ds.amazonaws.com

AWSDirectoryServiceServiceRolePolicy という名前のロールアクセス許可ポリシーにより Directory Service 、 は指定されたリソースに対して次のアクションを実行できます。完全なポリシーのアクセス許可については、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceServiceRolePolicy」を参照してください。

  • ec2 – サービスが VPC、サブネット、セキュリティグループ、ネットワークインターフェイスなどのネットワークリソースを記述して、ハイブリッド接続設定を検証できるようにします。

    • ec2:DescribeAvailabilityZones

    • ec2:DescribeDhcpOptions

    • ec2:DescribeNetworkInterfaces

    • ec2:DescribeRouteTables

    • ec2:DescribeSecurityGroups

    • ec2:DescribeSubnets

    • ec2:DescribeVpcs

  • ssm – モニタリングと評価の目的で、サービスが PowerShell guilabel をオンプレミスのドメインコントローラーに送信してモニタリングできるようにします。

    • ssm:Sendguilabel

    • ssm:Listguilabels

    • ssm:GetguilabelInvocation

    • ssm:DescribeInstanceInformation

    • ssm:GetConnectionStatus

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

のサービスにリンクされたロールの作成 Directory Service

サービスリンクロールを手動で作成する必要はありません。 AWS が AWS マネジメントコンソール、、 AWS CLIまたは AWS API で顧客のセルフマネージド型ドメインコントローラーをモニタリングできるようにすると、 はサービスにリンクされたロール Directory Service を作成します。この変更に関する詳細については、「ポリシーの更新」を参照してください。

重要

このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、 Directory Service サービスにリンクされたロールのサポートを開始した 2017 年 1 月 1 日より前にサービスを使用していた場合、 はアカウントに AWSServiceRoleForDirectoryService ロール Directory Service を作成しました。詳細については、「新しいロールが AWS アカウント」を参照してください。

のサービスにリンクされたロールの編集 Directory Service

Directory Service では、AWSServiceRoleForDirectoryService サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

のサービスにリンクされたロールの削除 Directory Service

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに Directory Service サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForDirectoryService で使用される Directory Service リソースを削除するには

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForDirectoryService サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Directory Service サービスにリンクされたロールでサポートされているリージョン

Directory Service は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしているわけではありません。ただし、AWSServiceRoleForDirectoryService ロールは、ハイブリッドディレクトリにオプトインできる AWS リージョン でのみ Directory Service 使用します。

ハイブリッドディレクトリのオプトインリージョンのサポート
リージョン名 リージョン識別子 オプトインサポート
米国東部 (バージニア北部) us-east-1 はい
米国東部 (オハイオ) us-east-2 はい
米国西部 (北カリフォルニア) us-west-1 はい
米国西部 (オレゴン) us-west-2 はい
欧州 (ストックホルム) eu-north-1 はい
中東 (バーレーン) me-south-1 はい
アジアパシフィック (ムンバイ) ap-south-1 はい
欧州 (パリ) eu-west-3 はい
アジアパシフィック (ジャカルタ) ap-southeast-3 はい
アフリカ (ケープタウン) af-south-1 はい
欧州 (アイルランド) eu-west-1 はい
中東 (UAE) me-central-1 はい
欧州 (フランクフルト) eu-central-1 はい
南米 (サンパウロ) sa-east-1 はい
アジアパシフィック (香港) ap-east-1 はい
アジアパシフィック (ハイデラバード) ap-south-2 はい
アジアパシフィック (ソウル) ap-northeast-2 はい
アジアパシフィック (大阪) ap-northeast-3 はい
欧州 (ロンドン) eu-west-2 はい
アジアパシフィック (メルボルン) ap-southeast-4 はい
欧州 (ミラノ) eu-south-1 はい
アジアパシフィック (東京) ap-northeast-1 はい
アジアパシフィック (シンガポール) ap-southeast-1 はい
アジアパシフィック (シドニー) ap-southeast-2 はい
カナダ (中部) ca-central-1 はい
欧州 (スペイン) eu-south-2 はい
欧州 (チューリッヒ) eu-central-2 はい