翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon EFS のサービスリンクロールの使用
Amazon EFS は、 AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。Amazon EFS サービスリンクロールは、Amazon EFS に直接リンクされた特殊なタイプの IAM ロールです。事前定義された Amazon EFS サービスにリンクされたロールには、サービスが AWS のサービス ユーザーに代わって他の を呼び出すために必要なアクセス許可が含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon EFS の設定が簡単になります。Amazon EFS は、サービスにリンクされたロールのアクセス権限を定義します。Amazon EFS のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
Amazon EFS サービスにリンクされたロールを削除するには、最初に Amazon EFS ファイルシステムを削除する必要があります。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon EFS リソースを保護します。
サービスにリンクされたロールを使用すると、すべての API コールを表示できます AWS CloudTrail。これがモニタリングと監査の要件を満たすのに役立つのは、Amazon EFS によってユーザーに代わって実行されるすべてのアクションを追跡できるためです。詳細については、「[EFS サービスにリンクされたロールのログエントリ](logging-using-cloudtrail.md#efs-service-linked-role-ct)」を参照してください。
詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon EFS のサービスリンクロール許可
Amazon EFS は、**AWSServiceRoleForAmazonElasticFileSystem** という名前のサービスにリンクされたロールを使用して、Amazon EFS が EFS ファイルシステムに代わって AWS リソースを呼び出して管理できるようにします。
AWSServiceRoleForAmazonElasticFileSystem サービスリンクロールは、`elasticfilesystem.amazonaws.com` を信頼してロールを引き受けます。
ロールのアクセス許可ポリシーは、ポリシー定義 JSON に含まれるアクションを実行することを Amazon EFS に許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"backup-storage:MountCapsule",
"ec2:CreateNetworkInterface",
"ec2:DeleteNetworkInterface",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeNetworkInterfaceAttribute",
"ec2:ModifyNetworkInterfaceAttribute",
"tag:GetResources"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"kms:DescribeKey"
],
"Resource": "arn:aws:kms:*:*:key/*"
},
{
"Effect": "Allow",
"Action": [
"backup:CreateBackupVault",
"backup:PutBackupVaultAccessPolicy"
],
"Resource": [
"arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
]
},
{
"Effect": "Allow",
"Action": [
"backup:CreateBackupPlan",
"backup:CreateBackupSelection"
],
"Resource": [
"arn:aws:backup:*:*:backup-plan:*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"backup.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
],
"Condition": {
"StringLike": {
"iam:PassedToService": "backup.amazonaws.com"
}
}
},
{
"Effect": "Allow",
"Action": [
"elasticfilesystem:DescribeFileSystems",
"elasticfilesystem:CreateReplicationConfiguration",
"elasticfilesystem:DescribeReplicationConfigurations",
"elasticfilesystem:DeleteReplicationConfiguration",
"elasticfilesystem:ReplicationRead",
"elasticfilesystem:ReplicationWrite"
],
"Resource": "*"
}
]
}
```
------
**注記**
保管時に暗号化された新しい EFS ファイルシステムを作成する AWS KMS ときは、 の IAM アクセス許可を手動で設定する必要があります。詳細については[保管中のデータの暗号化](encryption-at-rest.md)を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon EFS のサービスリンクロールの作成
ほとんどの場合、サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、または AWS API で EFS ファイルシステムのマウントターゲット AWS CLIまたはレプリケーション設定を作成すると、Amazon EFS によってサービスにリンクされたロールが作成されます。
さらに、このサービスリンクロールを手動で削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。EFS ファイルシステムのマウントターゲットおよびレプリケーション設定を作成すると、Amazon EFS によってサービスにリンクされたロールが再び作成されます。
ただし、Amazon EFS によってサービスリンクロールが作成されない場合、またはサービスリンクロールをサポートする前に Amazon EFS の使用を開始した場合は、サービスリンクロールを手動で作成できます。手順については、「*IAM ユーザーガイド*」の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)」を参照してください。
## Amazon EFS のサービスリンクロールの編集
Amazon EFS では、`AWSServiceRoleForAmazonElasticFileSystem` のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの更新](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)」を参照してください。
## Amazon EFS のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。詳細については、「[リソースをクリーンアップし、 AWS アカウントを保護する](getting-started.md#gs-step-five-cleanup)」を参照してください。
**注記**
リソースを削除しようとしているときに Amazon EFS サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonElasticFileSystem サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください。
## Amazon EFS のサービスにリンクされたロールをサポートするリージョン
Amazon EFS は、サービスが利用可能なすべての で AWS リージョン サービスにリンクされたロールの使用をサポートしています。詳細については、「*AWS 全般のリファレンス ユーザーガイド*」の「[AWS サービスエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。