Directory Service のサービスにリンクされたロールの使用
AWS Directory Service は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスリンクロールは、Directory Service に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、Directory Service による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可を備えています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Directory Service の設定が簡単になります。Directory Service はサービスにリンクされたロールのアクセス許可を定義し、別途定義されている場合を除き、Directory Service のみがそのロールを引き受けることができます。定義されたアクセス許可には、他の IAM エンティティにアタッチできない信頼ポリシーとアクセス許可ポリシーが含まれます。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、Directory Service リソースへアクセスするための許可を意図せず削除することが防止され、リソースへのアクセスを失うのを防ぎます。
サービスにリンクされたロールをサポートするその他のサービスの詳細については、「IAM と連携する AWS のサービス」を参照してください。
トピック
Directory Service のサービスリンクロールのアクセス許可
Directory Service は、[AWSServiceRoleForDirectoryService] という名前のサービスにリンクされたロールを使用します。AWS がお客様のセルフマネージドドメインコントローラーをモニタリングできるようにします。
サービスリンクロール [AWSServiceRoleForDirectoryService] は、次のサービスを信頼してそのロールを引き受けます。
-
ds.amazonaws.com
AWSDirectoryServiceServiceRolePolicy という名前のロールアクセス許可ポリシーを使用すると、Directory Service は指定されたリソースに対して次のアクションを完了できます。完全なポリシーのアクセス許可については、「AWS マネージドポリシーリファレンス」の「AWSDirectoryServiceServiceRolePolicy」を参照してください。
-
ec2– サービスが VPC、サブネット、セキュリティグループ、ネットワークインターフェイスなどのネットワークリソースを記述して、ハイブリッド接続設定を検証できるようにします。-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm– モニタリングと評価の目的で、サービスが PowerShell guilabel をオンプレミスのドメインコントローラーに送信してモニタリングできるようにします。-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「Service-linked role permissions」を参照してください。
Directory Service のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS が AWS マネジメントコンソール、AWS CLI または AWS API で顧客の自己管理型ドメインコントローラーをモニタリングできるようにすると、Directory Service によってサービスにリンクされたロールが作成されます。この変更に関する詳細については、「ポリシーの更新」を参照してください。
重要
このサービスリンク役割はこの役割でサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、2017 年 1 月 1 日以前に Directory Service サービスを使用していた場合、サービスにリンクされたロールのサポートが開始された時点で、Directory Service が [AWSServiceRoleForDirectoryService] ロールをアカウントに作成済みです。詳細については、「AWS アカウントに新しいロールが表示される」を参照してください。
Directory Service のサービスにリンクされたロールの編集
Directory Service では、[AWSServiceRoleForDirectoryService] のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。
Directory Service のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除する時に、Directory Service Classic サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForDirectoryService が使用する Directory Service リソースを削除するには
-
ディレクトリを削除するには、「AWS Managed Microsoft AD の削除」を参照してください。
サービスリンクロールを IAM で手動削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、[AWSServiceRoleForDirectoryService] サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
Directory Service のサービスにリンクされたロールをサポートするリージョン
Directory Service は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。ただし、Directory Service はハイブリッドディレクトリにオプトインできる AWS リージョンでのみ [AWSServiceRoleForDirectoryService] ロールを使用します。
| リージョン名 | リージョン識別子 | オプトインサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 中東 (バーレーン) | me-south-1 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | はい |
| アフリカ (ケープタウン) | af-south-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 中東 (アラブ首長国連邦) | me-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| アジアパシフィック (香港) | ap-east-1 | はい |
| アジアパシフィック (ハイデラバード) | ap-south-2 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| アジアパシフィック (メルボルン) | ap-southeast-4 | はい |
| 欧州 (ミラノ) | eu-south-1 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (スペイン) | eu-south-2 | はい |
| 欧州 (チューリッヒ) | eu-central-2 | はい |
