翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Elastic Beanstalk サービスロールの管理
<a name="iam-servicerole"></a>

環境を管理およびモニタリングするために、 AWS Elastic Beanstalk はユーザーに代わって環境リソースに対してアクションを実行します。Elastic Beanstalk には、これらのアクションを実行するための特定のアクセス許可が必要であり、これらのアクセス許可を取得するために AWS Identity and Access Management (IAM) サービスロールを引き受けます。

Elastic Beanstalk は、サービスロールを引き受けるときはいつでも一時的セキュリティ認証情報を使用する必要があります。これらの認証情報を取得するために、Elastic Beanstalk により、リージョン固有エンドポイントの AWS Security Token Service (AWS STS) にリクエストが送信されます。詳細については、*IAM ユーザーガイド*の「[IAM の一時的なセキュリティ認証情報](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp.html)」を参照してください。

**注記**  
環境が配置されているリージョンの AWS STS エンドポイントが非アクティブ化されている場合、Elastic Beanstalk は非アクティブ化できない代替エンドポイントにリクエストを送信します。このエンドポイントは別のリージョンに関連付けられています。つまり、このリクエストはクロスリージョンのリクエストとなります。詳細については、*IAM ユーザーガイド*[の「 AWS リージョン AWS STS での のアクティブ化と非アクティブ化](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_temp_enable-regions.html)」を参照してください。

## Elastic Beanstalk コンソールと EB CLI を使用したサービスロールの管理
<a name="iam-servicerole-console"></a>

Elastic Beanstalk コンソールと EB CLI を使用すると、十分なアクセス許可セットを含むサービスロールを環境に設定できます。デフォルトのサービスロールが作成され、その中の管理ポリシーが使用されます。

### マネージドサービスロールのポリシー
<a name="iam-servicerole-policy"></a>

Elastic Beanstalk により、[拡張ヘルスモニタリング](health-enhanced.md)用の管理ポリシーが 1 つ、また[マネージドプラットフォーム更新](environment-platform-update-managed.md)用の (必要な他のアクセス許可を含む) 管理ポリシーが 1 つ、それぞれ指定されます。コンソールと EB CLI は、デフォルトのサービスロールを作成する際に、これらのポリシーの両方を割り当てます。これらのポリシーは、このデフォルトのサービスロールでのみ使用するものです。アカウント内の他のユーザーまたはロールでは使用しないでください。

#### `AWSElasticBeanstalkEnhancedHealth`
<a name="iam-servicerole-policy.health"></a>

このポリシーでは、インスタンスおよび環境のヘルスをモニタリングするアクセス許可を Elastic Beanstalk に付与します。このポリシーには、Elastic Beanstalk にワーカー環境のキューアクティビティのモニタリングを許可する Amazon SQS アクションも含まれています。マネージドポリシーの内容を表示するには、「*AWS マネージドポリシーリファレンス*ガイド」の「[AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)」ページを参照してください。

#### `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
<a name="iam-servicerole-policy.service"></a>

このポリシーでは、お客様に代わって環境を更新してマネージドプラットフォームを更新するアクセス許可を Elastic Beanstalk に付与します。マネージドポリシーの内容を表示するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)」ページを参照してください。

**サービスレベルでのアクセス許可のグループ化 **

このポリシーは、提供された一連の許可に基づくステートメントごとにグループ化されます。
+ *`ElasticBeanstalkPermissions`* – このアクセス許可グループは、Elastic Beanstalk サービスアクション (Elastic Beanstalk API) を呼び出す際に使用します。
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`* – このアクセス許可グループにより、Elastic Beanstalk や CloudFormationなどのダウンストリームサービスに対し、任意のロールを渡すことが可能になります。
+ *`ReadOnlyPermissions`* – このアクセス許可グループは、実行中の環境に関する情報を収集するため使用します。
+ *`*OperationPermissions`* – この命名パターンを持つグループは、プラットフォームの更新を実行するために必要なオペレーションを呼び出すためのものです。
+ *`*BroadOperationPermissions`* – この命名パターンを持つグループは、プラットフォームの更新を実行するために必要なオペレーションを呼び出すためのものです。またこれには、レガシー環境をサポートするための広範なアクセス許可も含まれています。
+ `*TagResource`– この命名パターンのグループは、tag-on-create API を使用して Elastic Beanstalk 環境で作成されているリソースにタグをアタッチする呼び出し用です。

管理ポリシーの内容は、IAM コンソールの[ [**ポリシー**] ページ](https://console.aws.amazon.com/iam/home#policies)でも表示することができます。

**重要**  
Elastic Beanstalk マネージド型ポリシーは、詳細なアクセス権限を提供しません。Elastic Beanstalk アプリケーションの操作に必要となる可能性のある、すべてのアクセス権限が付与されます。場合によっては、管理ポリシーのアクセス許可をさらに制限することもできます。1 つのユースケースの例については、「[環境間の Amazon S3 バケットアクセスの防止](AWSHowTo.iam.cross-env-s3-access.md)」を参照してください。  
また、当社の管理ポリシーでは、Elastic Beanstalk では管理されておらず、お客様によりソリューションに追加されるような、カスタムリソースのためのアクセス許可についてもサポートしていません。よりきめの細かなアクセス許可、必要最小限のアクセス許可、またはリソースに対するアクセス許可をカスタムで作成するには、[カスタムポリシー](AWSHowTo.iam.managed-policies.md#AWSHowTo.iam.policies)を使用します。

**非推奨の マネージドポリシー**  
これまで Elastic Beanstalk では、**AWSElasticBeanstalkService** マネージドサービスロールポリシーをサポートしていました。現在このポリシーは、**AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy** に置き換えられています。以前のポリシーは、IAM コンソールから表示および使用できる場合があります。

マネージドポリシーの内容を表示するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSElasticBeanstalkService](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkService.html)」を参照してください。

ただし、新しい管理ポリシー (**AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy**) の使用を選択されることをお勧めします。カスタムリソースをご使用の場合は、カスタムポリシーを追加して、そのリソースにアクセス許可を付与します。

### Elastic Beanstalk コンソールを開きます。
<a name="iam-servicerole-console"></a>

Elastic Beanstalk コンソールで環境を起動すると、`aws-elasticbeanstalk-service-role` という名前のデフォルトのサービスロールが作成され、デフォルトのアクセス許可を含む管理ポリシーが、そのサービスロールにアタッチされます。

Elastic Beanstalk が `aws-elasticbeanstalk-service-role` ロールを引き受けることができるようにするために、サービスロールは Elastic Beanstalk を信頼関係ポリシーの信頼されたエンティティとして指定します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
      {
        "Sid": "",
        "Effect": "Allow",
        "Principal": {
          "Service": "elasticbeanstalk.amazonaws.com"
        },
        "Action": "sts:AssumeRole",
        "Condition": {
          "StringEquals": {
            "sts:ExternalId": "elasticbeanstalk"
          }
        }
      }
    ]
}
```

------

環境に対して[マネージドプラットフォーム更新](environment-platform-update-managed.md)を有効にすると、Elastic Beanstalk は、マネージド更新を実行するための個別のマネージド更新サービスロールを引き受けます。Elastic Beanstalk コンソールのデフォルトでは、このマネージド更新サービスロールにも、生成された同じサービスロール (`aws-elasticbeanstalk-service-role`) が使用されます。デフォルトのサービスロールを変更すると、マネージド更新サービスにリンクされたロール (`AWSServiceRoleForElasticBeanstalkManagedUpdates`) を使用するように、コンソールによってマネージド更新サービスロールが設定されます。サービスにリンクされたロールの詳細については、「[サービスにリンクされたロールの使用](#iam-servicerole-slr)」を参照してください。

**注記**  
アクセス許可の状態によっては、Elastic Beanstalk サービスが、サービスにリンクされたロールの作成に必ず成功するとは限りません。このため、明示的な作成がコンソールで試行されます。サービスにリンクされたロールがアカウントに確実に付与されるようにするには、コンソールを使用して 1 回以上は環境を作成します。環境を作成する前に、マネージド更新が有効になるように設定する必要があります。

### EB CLI の使用
<a name="iam-servicerole-ebcli"></a>

Elastic Beanstalk コマンドラインインターフェイス (EB CLI) の [**eb create**](eb3-create.md) コマンドを使用して環境を起動する際に、`--service-role` オプションでサービスロールを指定しない場合は、Elastic Beanstalk によってデフォルトのサービスロール (`aws-elasticbeanstalk-service-role`) が作成されます。デフォルトのサービスロールが既に存在する場合、Elastic Beanstalk はそのサービスロールを新しい環境で使用します。また、Elastic Beanstalk コンソールでも、このような状況に対し同様のアクションが実行されます。

ただし、EB CLI コマンドオプションを使用する場合には、コンソールとは異なりマネージド更新サービスロールを指定することはできません。環境のマネージド更新を有効にする場合は、設定オプションを使用してマネージド更新サービスロールを設定する必要があります。次の例では、マネージド更新を有効にし、デフォルトのサービスロールをマネージド更新サービスロールとして使用しています。

**Example .ebextensions/managed-platform-update.config**  

```
option_settings:
  aws:elasticbeanstalk:managedactions:
    ManagedActionsEnabled: true
    PreferredStartTime: "Tue:09:00"
    ServiceRoleForManagedUpdates: "aws-elasticbeanstalk-service-role"
  aws:elasticbeanstalk:managedactions:platformupdate:
    UpdateLevel: patch
    InstanceRefreshEnabled: true
```

## Elastic Beanstalk API を使用したサービスロールの管理
<a name="iam-servicerole-api"></a>

Elastic Beanstalk API の `CreateEnvironment` アクションを使用して環境を作成する場合は、`ServiceRole` 名前空間の `aws:elasticbeanstalk:environment` 設定オプションを使用して、サービスロールを指定します。Elastic Beanstalk API を使用しての拡張ヘルスモニタリングの詳細については、「[Elastic Beanstalk API での拡張ヘルスレポートの使用](health-enhanced-api.md)」を参照してください。

さらに、環境に対して[マネージドプラットフォーム更新](environment-platform-update-managed.md)を有効にする場合は、`aws:elasticbeanstalk:managedactions` 名前空間の `ServiceRoleForManagedUpdates` オプションを使用してマネージド更新サービスロールを指定できます。

## サービスにリンクされたロールの使用
<a name="iam-servicerole-slr"></a>

サービスにリンクされたロールは、Elastic Beanstalk によって事前定義された一意のタイプのサービスロールで、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。このサービスリンクロールはお客様のアカウントに関連付けられています。Elastic Beanstalk によって一度作成されたロールは、追加の環境を作成するときにも使用されます。Elastic Beanstalk 環境でのサービスにリンクされたロールの使用の詳細については、「[Elastic Beanstalk でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

Elastic Beanstalk API を使用して環境を作成する際にサービスロールを指定しない場合は、(それが存在しない場合には) [モニタリングサービスにリンクされたロール](using-service-linked-roles-monitoring.md)が、Elastic Beanstalk によりアカウントに作成されます。Elastic Beanstalk は、作成された環境でこのロールを使用します。IAM を使用して、モニタリングサービスにリンクされたロールを、アカウント用として事前に作成することもできます。アカウントでこのロールの取得が完了したら、そのロールにより Elastic Beanstalk API、Elastic Beanstalk コンソール、または EB CLI を使用しての環境の作成が可能になります。

環境に対して[マネージドプラットフォーム更新](environment-platform-update-managed.md)を有効にし、`ServiceRoleForManagedUpdates` 名前空間の `aws:elasticbeanstalk:managedactions` オプションの値として `AWSServiceRoleForElasticBeanstalkManagedUpdates` を指定した場合、(それが存在しない場合には) アカウントのための[マネージド更新サービスにリンクされたロール](using-service-linked-roles-managedupdates.md)が、Elastic Beanstalk により作成されます。Elastic Beanstalk は、この作成されたロールを使用して、新しい環境でのマネージド更新を実行します。

**注記**  
環境の作成時に Elastic Beanstalk でモニタリングサービスおよびマネージド更新サービスにリンクされたロールをアカウントに作成する場合は、`iam:CreateServiceLinkedRole` アクセス許可が必要です。このアクセス許可がない場合、環境の作成は失敗し、問題を報告するメッセージが表示されます。  
別の方法として、サービスにリンクされたロールを作成するアクセス許可を持つ別のユーザーが IAM を使用して、サービスにリンクされたロールを事前に作成できます。この方法では、環境を作成するために `iam:CreateServiceLinkedRole` のアクセス許可は必要ありません。

## デフォルトのサービスロールのアクセス許可を確認する
<a name="iam-servicerole-verify"></a>

デフォルトのサービスロールに付与されるアクセス許可は、作成日時、最後に環境を起動した日時、使用したクライアントに基づき変化します。デフォルトのサービスロールに付与されるアクセス許可は、IAM コンソールで確認できます。

**デフォルトのサービスロールのアクセス権限を確認する**

1. IAM コンソールで [[**ロール**] ページ](https://console.aws.amazon.com/iam/home#roles)を開きます。

1. [**aws-elasticbeanstalk-service-role**] を選択します。

1. [**Permissions (アクセス許可)**] タブで、ロールにアタッチされたポリシーのリストを確認します。

1. ポリシーにより付与されるアクセス権限を表示するには、ポリシーを選択します。

## 古くなったデフォルトのサービスロールを更新する
<a name="iam-servicerole-update"></a>

必要なアクセス許可がデフォルトのサービスロールに付与されていない場合は、Elastic Beanstalk 環境マネジメントコンソールで[新しい環境を作成](using-features.environments.md)し、アクセス許可を更新します。

あるいは、デフォルトのサービスロールに管理ポリシーを手動で追加することも可能です。

**デフォルトのサービスロールに管理ポリシーを追加する**

1. IAM コンソールで [[**ロール**] ページ](https://console.aws.amazon.com/iam/home#roles)を開きます。

1. [**aws-elasticbeanstalk-service-role**] を選択します。

1. [**Permissions (アクセス許可)**] タブで、[**Attach policy (ポリシーの添付)**] を選択します。

1. **AWSElasticBeanstalk** を入力してポリシーをフィルタリングします。

1. 次のポリシーを指定し、[**Attach policy (ポリシーのアタッチ)**] を選択します。
   + `AWSElasticBeanstalkEnhancedHealth`
   + `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`

## デフォルトのサービスロールにアクセス許可を付与する
<a name="iam-servicerole-addperms"></a>

アプリケーションに、アクセス許可がデフォルトのサービスロールに含まれていない AWS リソースを参照する設定ファイルが含まれている場合、Elastic Beanstalk には追加のアクセス許可が必要になる場合があります。これらの追加のアクセス許可は、マネージド更新の実行中に構成ファイルを処理する際、必要な参照を解決するために必要です。アクセス許可がない場合には、更新が失敗し、Elastic Beanstalk からは、不足しているアクセス許可を示すメッセージが出力されます。IAM コンソールで次の手順を実行し、新たなサービスのためのアクセス許可を、デフォルトのサービスロールに追加します。

**デフォルトのサービスロールにその他のポリシーを追加する**

1. IAM コンソールで [[**ロール**] ページ](https://console.aws.amazon.com/iam/home#roles)を開きます。

1. [**aws-elasticbeanstalk-service-role**] を選択します。

1. [**Permissions (アクセス許可)**] タブで、[**Attach policy (ポリシーの添付)**] を選択します。

1. アプリケーションで使用する追加サービスの管理ポリシーを選択します。例えば、`AmazonAPIGatewayAdministrator`、`AmazonElasticFileSystemFullAccess` です。

1. **[Attach policy]** (ポリシーのアタッチ) を選択します。

## サービスロールの作成
<a name="iam-servicerole-create"></a>

デフォルトのサービスロールを使用できない場合は別途サービスロールを作成します。

**サービスロールを作成する**

1. IAM コンソールで [[**ロール**] ページ](https://console.aws.amazon.com/iam/home#roles)を開きます。

1. [**ロールの作成**] を選択してください。

1. [**AWS service**] (サービス) で、[**AWS Elastic Beanstalk**] を選択してから、ユースケースを選択します。

1. **[Next: Permissions]** (次のステップ: 許可) を選択します。

1. `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy` と `AWSElasticBeanstalkEnhancedHealth` の管理ポリシー、ならびにアプリケーションで必要なアクセス権限を付与するその他のポリシーがあればそれらもアタッチします。

1. **[Next: Tags]** (次へ: タグ) を選択します。

1. (オプション) ロールにタグを追加します。

1. **[次へ: レビュー]** を選択します。

1. ロールの名前を入力します。

1. [**ロールの作成**] を選択してください。

環境の作成時に、[環境の作成ウィザード](environments-create-wizard.md)を使用するか、`eb create` コマンドで `--service-role` オプションを指定することで、カスタムサービスロールを適用します。