翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスにリンクされたロールを理解する
<a name="service-linked-roles"></a>

Amazon DocumentDB (MongoDB 互換) は、 AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。[サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) は、Amazon DocumentDB に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは Amazon DocumentDB によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要な権限を手動で追加する必要がないため、Amazon DocumentDB の使用が簡単になります。Amazon DocumentDB は、サービスにリンクされたロールの権限を定義します。特に定義されていない限り、Amazon DocumentDB のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

ロールを削除するには、まず関連リソースを削除します。これにより、リソースにアクセスするためのアクセス許可を誤って削除することができないため、Amazon DocumentDB リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**はい** リンクを選択します。

## Amazon DocumentDB のサービスにリンクされたロールの許可
<a name="service-linked-role-permissions"></a>

Amazon DocumentDB (MongoDB 互換) は、**AWSServiceRoleForRDS** という名前のサービスにリンクされたロールを使用して、Amazon DocumentDB がクラスターに代わって AWS サービスを呼び出すことを許可します。

サービスにリンクされたロール AWSServiceRoleForRDS では、以下のサービスを信頼してロールを引き受けます。
+ `docdb.amazonaws.com`

ロールの許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon DocumentDB に許可します。
+ `ec2` でのアクション:
  + `AssignPrivateIpAddresses`
  + `AuthorizeSecurityGroupIngress`
  + `CreateNetworkInterface`
  + `CreateSecurityGroup`
  + `DeleteNetworkInterface`
  + `DeleteSecurityGroup`
  + `DescribeAvailabilityZones`
  + `DescribeInternetGateways`
  + `DescribeSecurityGroups`
  + `DescribeSubnets`
  + `DescribeVpcAttribute`
  + `DescribeVpcs`
  + `ModifyNetworkInterfaceAttribute`
  + `RevokeSecurityGroupIngress`
  + `UnassignPrivateIpAddresses`
+ `sns` でのアクション:
  + `ListTopic`
  + `Publish`
+ `cloudwatch` でのアクション:
  + `PutMetricData`
  + `GetMetricData`
  + `CreateLogStream`
  + `PullLogEvents`
  + `DescribeLogStreams`
  + `CreateLogGroup`

**注記**  
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。次のエラーメッセージが返される場合があります。  
**リソースを作成できません。サービスにリンクされたロールを作成するために必要なアクセス許可があることを確認します。それ以外の場合は、時間をおいてからもう一度お試しください。**  
このエラーが表示された場合は、次のアクセス許可が有効であることを確認します。  

```
{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}
```

詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## Amazon DocumentDB でのサービスにリンクされたロールの作成
<a name="service-linked-roles-create"></a>

サービスリンクロールを手動で作成する必要はありません。クラスターを作成すると、Amazon DocumentDB がサービスにリンクされたロールを作成します。

サービスにリンクされたこのロールを削除したが、再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。クラスターを作成すると、Amazon DocumentDB によってサービスにリンクされたロールが再度作成されます。

## Amazon DocumentDB サービスにリンクされたロールの変更
<a name="service-linked-roles-edit"></a>

Amazon DocumentDB は、AWSServiceRoleForAmazonMQ サービスリンクロールの編集を許可しません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の変更はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Amazon DocumentDB でのサービスにリンクされたロールの削除
<a name="service-linked-roles-delete"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを削除する前に、すべての クラスターを削除する必要があります。

### Amazon DocumentDB サービスにリンクされたロールのクリーンアップ
<a name="service-linked-roles-clean-up"></a>

IAM を使用してサービスにリンクされたロールを削除するには、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースをすべて削除する必要があります。

**サービスにリンクされたロールがアクティブなセッションを持っているかどうかをコンソールを使用して確認するには**

1. にサインイン AWS マネジメントコンソール し、 で IAM コンソールを開きます[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。

1. IAM コンソールのナビゲーションペインで、**ロール** を選択してから、**AWSServiceRoleForRDS** ロールの名前 (チェックボックスではない) を選択します。

1. 選択したロールの **概要** ページで、**アクセスアドバイザー** タブを選択します。

1. [**アクセスアドバイザー**] タブで、サービスにリンクされたロールの最新のアクティビティを確認します。
**注記**  
Amazon DocumentDB が AWSServiceRoleForRDS ロールを使用しているかどうかわからない場合は、ロールの削除を試みることができます。サービスでロールが使用されている場合、削除は失敗し、ロールが使用されている リージョンが表示されます。ロールが使用されている場合は、ロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。

AWSServiceRoleForRDS ロールを削除する場合、最初に *すべて* のインスタンスおよびクラスターを削除する必要があります。インスタンスとクラスターを削除する方法については、次のトピックを参照してください。
+ [Amazon DocumentDB インスタンスの削除](db-instance-delete.md)
+ [Amazon DocumentDB クラスターの削除](db-cluster-delete.md)

## Amazon DocumentDB サービスリンクロールがサポートされるリージョン
<a name="slr-regions"></a>

Amazon DocumentDB ではサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされます。詳細については、「[https://docs.aws.amazon.com/documentdb/latest/developerguide/regions-and-azs.html#regions-and-azs-availability](https://docs.aws.amazon.com/documentdb/latest/developerguide/regions-and-azs.html#regions-and-azs-availability)」を参照してください。