Amazon EFS のサービスリンクロールの使用 - Amazon Elastic File System
Amazon EFS のサービスリンクロール許可Amazon EFS のサービスリンクロールの作成Amazon EFS のサービスリンクロールの編集Amazon EFS のサービスリンクロールの削除Amazon EFS サービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EFS のサービスリンクロールの使用

Amazon Elastic File System は、 AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。Amazon EFS サービスリンクロールは、Amazon EFS に直接リンクされた特殊なタイプの IAM ロールです。事前定義された Amazon EFS サービスにリンクされたロールには、サービスが AWS のサービス ユーザーに代わって他の を呼び出すために必要なアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon EFS の設定が簡単になります。Amazon EFS は、サービスにリンクされたロールのアクセス権限を定義します。Amazon EFS のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

Amazon EFS サービスにリンクされたロールを削除するには、最初に Amazon EFS ファイルシステムを削除する必要があります。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon EFS リソースを保護します。

サービスにリンクされたロールを使用すると、すべての API コールを表示できます AWS CloudTrail。これがモニタリングと監査の要件を満たすのに役立つのは、Amazon EFS によってユーザーに代わって実行されるすべてのアクションを追跡できるためです。詳細については、「EFS サービスにリンクされたロールのログエントリ」を参照してください。

詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。

Amazon EFS のサービスリンクロール許可

Amazon EFS は、AWSServiceRoleForAmazonElasticFileSystem という名前のサービスにリンクされたロールを使用して、Amazon EFS が EFS ファイルシステムに代わって AWS リソースを呼び出して管理できるようにします。

AWSServiceRoleForAmazonElasticFileSystem サービスにリンクされたロールは、 を信頼elasticfilesystem.amazonaws.comしてロールを引き受けます。

ロールのアクセス許可ポリシーは、ポリシー定義 JSON に含まれるアクションを実行することを Amazon EFS に許可します。

JSON
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "*"
        }
    ]
}
注記

保管時に暗号化された新しい EFS ファイルシステムを作成する AWS KMS ときは、 の IAM アクセス許可を手動で設定する必要があります。詳細については保管中のデータの暗号化を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクされたロールのアクセス許可」を参照してください。

Amazon EFS のサービスリンクロールの作成

ほとんどの場合、サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、または AWS API で EFS ファイルシステムのマウントターゲット AWS CLIまたはレプリケーション設定を作成すると、Amazon EFS によってサービスにリンクされたロールが作成されます。

さらに、このservice-linked-roleを手動で削除し、再度作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成できます。EFS ファイルシステムのマウントターゲットまたはレプリケーション設定を作成すると、Amazon EFS によってサービスにリンクされたロールが作成されます。

ただし、Amazon EFS がservice-linked-roleを作成しない場合、またはサービスにリンクされたロールをサポートする前に Amazon EFS の使用を開始した場合は、サービスにリンクされたロールを手動で作成できます。手順については、IAM ユーザーガイド「サービスにリンクされたロールの作成」を参照してください。

Amazon EFS のサービスリンクロールの編集

Amazon EFS では、AWSServiceRoleForAmazonElasticFileSystem のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの更新」を参照してください。

Amazon EFS のサービスリンクロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。詳細については、「リソースのクリーンアップと AWS アカウントの保護」を参照してください。

注記

リソースを削除しようとしているときに Amazon EFS サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonElasticFileSystem サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Amazon EFS サービスにリンクされたロールでサポートされているリージョン

Amazon EFS は、サービスが利用可能なすべての で AWS リージョン サービスにリンクされたロールの使用をサポートしています。詳細については、「 AWS 全般のリファレンス ユーザーガイド」のAWS 「 サービスエンドポイント」を参照してください。