FSx for Windows File Server のサービスリンクロールの使用 - Amazon FSx for Windows File Server
FSx for Windows File Server のサービスにリンクされたロールのアクセス許可FSx for Windows File Server のサービスにリンクされたロールの作成FSx for Windows File Server のサービスにリンクされたロールの編集FSx for Windows File Server のサービスにリンクされたロールの削除FSx for Windows File Server サービスにリンクされたロール向けのサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

FSx for Windows File Server のサービスリンクロールの使用

Amazon FSx for Windows File Server は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスリンクされたロールは、FSx for Windows File Server に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは、FSx for Windows File Server によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がなくなり、より簡単に FSx for Windows File Server をセットアップできるようになります。サービスリンクロールの許可は FSx for Windows File Server が定義し、別段の定義がない限り、FSx for Windows File Server のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これは、リソースにアクセスするための許可を誤って削除できないため、FSx for Windows File Server リソースを保護します。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール列がはいになっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。

FSx for Windows File Server のサービスにリンクされたロールのアクセス許可

FSx for Windows File Server では、AWSServiceRoleForAmazonFSx という名前が付けられたサービスにリンクされたロールを使用します。これは、VPC でファイルシステム用の Elastic Network Interface を作成するなど、アカウントで特定のアクションを実行するものです。

ロールのアクセス許可ポリシーにより、FSx for Windows File Server は該当するすべての AWS リソースに対して次のアクションを実行できます。

IAM エンティティに AmazonFSxServiceRolePolicy をアタッチすることはできません。このポリシーは、FSx がユーザーに代わって AWS リソースを管理できるようにするサービスにリンクされたロールにアタッチされます。詳細については、「FSx for Windows File Server のサービスリンクロールの使用」を参照してください。

このポリシーの更新については、「AmazonFSxServiceRolePolicy」を参照してください

このポリシーは、FSx がユーザーに代わって AWS リソースを管理できるようにする管理アクセス許可を付与します。

アクセス許可の詳細

AmazonFSxServiceRolePolicy ロールのアクセス許可は、AmazonFSxServiceRolePolicy AWS 管理ポリシーによって定義されます。AmazonFSxServiceRolePolicy には次のアクセス許可があります。

注記

AmazonFSxServiceRolePolicy はすべての Amazon FSx ファイルシステムタイプで使用されます。記載されているアクセス許可の一部は、FSx for Windows には適用されない場合があります。

  • ds – FSx が Directory Service ディレクトリ内のアプリケーションを表示、認可、および認可解除できるようにします。

  • ec2 - FSx に以下のことを許可します:

    • Amazon FSx ファイルシステムに関連付けられたネットワークインターフェイスを表示、作成、および関連付け解除します。

    • Amazon FSx ファイルシステムに関連付けられた 1 つ以上の Elastic IP アドレスを表示します。

    • Amazon FSx ファイルシステムに関連付けられている Amazon VPC、セキュリティグループ、およびサブネットを表示します。

    • AmazonFSx.FileSystemId タグを持つカスタマーネットワークインターフェイスに IPv6 アドレスを割り当てます。

    • AmazonFSx.FileSystemId タグを持つカスタマーネットワークインターフェイスから IPv6 アドレスの割り当てを解除します。

    • VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。

    • AWS認可されたユーザーがネットワークインターフェイスで特定のオペレーションを実行するためのアクセス許可を作成します。

  • cloudwatch – FSx がメトリクスデータポイントを AWS/FSx 名前空間の CloudWatch に発行できるようにします。

  • route53 - FSx に Amazon VPC をプライベートホストゾーンに関連付けることを許可します。

  • logs - FSx が CloudWatch Logs のログストリームを記述して書き込むことを許可します。これは、ユーザーが FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを CloudWatch Logs ストリーミングに送信できるようにするためです。

  • firehose - FSx に Amazon Data Firehose 配信ストリームを記述して書き込むことを許可します。これは、ユーザーが FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを Amazon Data Firehose 配信ストリームに公開できるようにするためです。

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

本ポリシーの更新については、AWS マネージドポリシーに対する Amazon FSx の更新 に記載されています。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。

FSx for Windows File Server のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、IAM CLI、または IAM API でファイルシステムを作成すると、FSx for Windows File Server によってサービスにリンクされたロールが作成されます。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。ファイルシステムの作成時に、FSx for Windows File Server はサービスリンクロールを再作成します。

FSx for Windows File Server のサービスにリンクされたロールの編集

FSx for Windows File Server では、サービスリンクロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

FSx for Windows File Server のサービスにリンクされたロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。これにより、積極的にモニタリングまたは保守されない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを手動で削除する前に、すべてのファイルシステムとバックアップを削除する必要があります。

注記

FSx for Windows File Server サービスがリソース削除時に当該ロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。

IAM を使用してサービスリンクロールを手動で削除するには

サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

FSx for Windows File Server サービスにリンクされたロール向けのサポートされているリージョン

FSx for Windows File Server では、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされています。詳細については、「AWS リージョンとエンドポイント」を参照してください。