AWS Directory Serviceのサービスにリンクされたロールの使用 - AWS Directory Service
のサービスにリンクされたロールのアクセス許可 AWS Directory Serviceのサービスにリンクされたロールの作成 AWS Directory Serviceのサービスにリンクされたロールの編集 AWS Directory Serviceのサービスにリンクされたロールの削除 AWS Directory ServiceAWS Directory Service サービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Directory Serviceのサービスにリンクされたロールの使用

AWS Directory Service は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Directory Service。サービスにリンクされたロールは によって事前定義 AWS Directory Service されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Directory Service が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Directory Service を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Directory Service ることができます。定義されたアクセス許可には、他の IAM エンティティにアタッチできない信頼ポリシーとアクセス許可ポリシーが含まれます。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、 AWS Directory Service リソースへのアクセス許可を誤って削除することがないため、リソースへのアクセスが失われるのを防ぐことができます。

サービスにリンクされたロールをサポートするその他のサービスの詳細については、「IAM と連携するAWS のサービス」を参照してください。

のサービスにリンクされたロールのアクセス許可 AWS Directory Service

AWS Directory Service は、AWSServiceRoleForDirectoryService という名前のサービスにリンクされたロールを使用します。 AWS がお客様のセルフマネージドドメインコントローラーをモニタリングできるようにします。

AWSServiceRoleForDirectoryService サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • ds.amazonaws.com

AWSDirectoryServiceServiceRolePolicy という名前のロールアクセス許可ポリシーにより AWS Directory Service 、 は指定されたリソースに対して次のアクションを実行できます。完全なポリシーアクセス許可については、AWS 「 マネージドポリシーリファレンス」のAWSDirectoryServiceServiceRolePolicy」を参照してください。

  • ec2 – サービスが VPCs、サブネット、セキュリティグループ、ネットワークインターフェイスなどのネットワークリソースを記述して、ハイブリッド接続設定を検証できるようにします。

    • ec2:DescribeAvailabilityZones

    • ec2:DescribeDhcpOptions

    • ec2:DescribeNetworkInterfaces

    • ec2:DescribeRouteTables

    • ec2:DescribeSecurityGroups

    • ec2:DescribeSubnets

    • ec2:DescribeVpcs

  • ssm – モニタリングと評価の目的で、サービスが PowerShell ギラベルをオンプレミスのドメインコントローラーに送信してモニタリングできるようにします。

    • ssm:Sendguilabel

    • ssm:Listguilabels

    • ssm:GetguilabelInvocation

    • ssm:DescribeInstanceInformation

    • ssm:GetConnectionStatus

ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

のサービスにリンクされたロールの作成 AWS Directory Service

サービスリンクロールを手動で作成する必要はありません。 AWS が、、 AWS Management Console、 AWS CLIまたは AWS API で顧客の自己管理型ドメインコントローラーをモニタリングできるようにすると、 はサービスにリンクされたロール AWS Directory Service を作成します。この変更の詳細については、「ポリシーの更新」を参照してください。

重要

このサービスリンク役割はこの役割でサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、 AWS Directory Service サービスにリンクされたロールのサポートを開始した 2017 年 1 月 1 日より前にサービスを使用していた場合、 はアカウントに AWSServiceRoleForDirectoryService ロール AWS Directory Service を作成しました。詳細については、「新しいロールが AWS アカウント」を参照してください。

のサービスにリンクされたロールの編集 AWS Directory Service

AWS Directory Service では、AWSServiceRoleForDirectoryService サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

のサービスにリンクされたロールの削除 AWS Directory Service

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに AWS Directory Service サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForDirectoryService で使用される AWS Directory Service リソースを削除するには

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForDirectoryService サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS Directory Service サービスにリンクされたロールでサポートされているリージョン

AWS Directory Service は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしているわけではありません。ただし、 はハイブリッドディレクトリにオプトインできる AWS リージョン でのみ AWSServiceRoleForDirectoryService ロール AWS Directory Service を使用します。

ハイブリッドディレクトリのオプトインリージョンのサポート
リージョン名 リージョン識別子 オプトインサポート
米国東部 (バージニア北部) us-east-1 はい
米国東部 (オハイオ) us-east-2 はい
米国西部 (北カリフォルニア) us-west-1 はい
米国西部 (オレゴン) us-west-2 あり
欧州 (ストックホルム) eu-north-1 はい
中東 (バーレーン) me-south-1 あり
アジアパシフィック (ムンバイ) ap-south-1 あり
欧州 (パリ) eu-west-3 あり
アジアパシフィック (ジャカルタ) ap-southeast-3 あり
アフリカ (ケープタウン) af-south-1 あり
欧州 (アイルランド) eu-west-1 あり
中東 (アラブ首長国連邦) me-central-1 あり
欧州 (フランクフルト) eu-central-1 あり
南米 (サンパウロ) sa-east-1 あり
アジアパシフィック (香港) ap-east-1 あり
アジアパシフィック (ハイデラバード) ap-south-2 あり
アジアパシフィック (ソウル) ap-northeast-2 あり
アジアパシフィック (大阪) ap-northeast-3 あり
欧州 (ロンドン) eu-west-2 あり
アジアパシフィック (メルボルン) ap-southeast-4 あり
欧州 (ミラノ) eu-south-1 あり
アジアパシフィック (東京) ap-northeast-1 あり
アジアパシフィック (シンガポール) ap-southeast-1 はい
アジアパシフィック (シドニー) ap-southeast-2 あり
カナダ (中部) ca-central-1 あり
欧州 (スペイン) eu-south-2 あり
欧州 (チューリッヒ) eu-central-2 あり