AMS Accelerate のサービスにリンクされたロールの使用 - AMS Accelerate ユーザーガイド
デプロイツールキット SLR検出コントロール SLRAmazon EventBridge ルール SLR連絡先管理ポリシーSLR のサポート対象リージョンSLRs の更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AMS Accelerate のサービスにリンクされたロールの使用

AMS Accelerate は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロール (SLR) は、AMS Accelerate に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは AMS Accelerate によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AMS Accelerate の設定が簡単になります。AMS Accelerate は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、AMS Accelerate のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。

AMS Accelerate のサービスにリンクされたロールのデプロイツールキット

AMS Accelerate は、AWSServiceRoleForAWSManagedServicesDeploymentToolkit という名前のサービスリンクロール (SLR) を使用します。このロールは、AMS Accelerate インフラストラクチャをカスタマーアカウントにデプロイします。

注記

このポリシーは最近更新されました。詳細については、「」を参照してくださいサービスにリンクされたロールの更新を高速化する

AMS Accelerate デプロイツールキット SLR

AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • deploymenttoolkit.managedservices.amazonaws.com

AWSManagedServicesDeploymentToolkitPolicy という名前のポリシーにより、AMS Accelerate は次のリソースに対してアクションを実行できます。

  • arn:aws*:s3:::ams-cdktoolkit*

  • arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*

  • arn:aws:ecr:*:*:repository/ams-cdktoolkit*

この SLR は、CloudFormation テンプレートや Lambda アセットバンドルなどのリソースをコンポーネントデプロイのアカウントにアップロードするために AMS が使用するデプロイバケットを作成および管理するためのアクセス許可を Amazon S3 に付与します。この SLR は、デプロイバケットを定義する CloudFormation スタックをデプロイするアクセス許可を CloudFormation に付与します。詳細については、「AWSManagedServices_DeploymentToolkitPolicy」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクされたロールのアクセス許可」を参照してください。

AMS Accelerate 用のデプロイツールキット SLR の作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

重要

このサービスにリンクされたロールは、サービスにリンクされたロールのサポートを開始した 2022 年 6 月 9 日より前に AMS Accelerate サービスを使用していた場合、アカウントに AWSServiceRoleForAWSManagedServicesDeploymentToolkit ロールを作成しました。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

AMS Accelerate 用のデプロイツールキット SLR の編集

AMS Accelerate では、AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

AMS Accelerate 用のデプロイツールキット SLR の削除

AWSServiceRoleForAWSManagedServicesDeploymentToolkit ロールを手動で削除する必要はありません。 AWS Management Console、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールによって使用されている AMS Accelerate リソースを削除するには

アカウントが AMS でオンボーディングされたすべてのリージョンからams-cdk-toolkitスタックを削除します (最初に S3 バケットを手動で空にする必要がある場合があります)。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAWSManagedServicesDeploymentToolkit サービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイド「サービスにリンクされたロールの削除」を参照してください。

AMS Accelerate のサービスにリンクされたロールを Detective が制御する

AMS Accelerate は、AWSServiceRoleForManagedServices_DetectiveControlsConfig という名前のサービスリンクロール (SLR) を使用します。AWS Managed Services はこのサービスリンクロールを使用して、config-recorder、config ルール、S3 バケット検出コントロールをデプロイします。

AWSServiceRoleForManagedServices_DetectiveControlsConfig サービスにリンクされたロールにアタッチされた管理ポリシーは、AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy です。このポリシーの更新については、「AWS 管理ポリシーの更新を高速化する」を参照してください

AMS Accelerate の検出コントロール SLR のアクセス許可

AWSServiceRoleForManagedServices_DetectiveControlsConfig サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • detectivecontrols.managedservices.amazonaws.com

このロールにアタッチされているのは AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy AWS マネージドポリシーです (AWS マネージドポリシー: AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy「 サービスは ロールを使用してアカウントに AMS Detective Controls の設定を作成します。これには、s3 バケット、設定ルール、アグリゲータなどのリソースのデプロイが必要です」を参照してください。 IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするアクセス許可を設定する必要があります。詳細については、AWS 「 Identity and Access Management ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

AMS Accelerate の検出コントロール SLR の作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

重要

このサービスにリンクされたロールは、サービスにリンクされたロールのサポートが開始された 2022 年 6 月 9 日以前に AMS Accelerate サービスを使用していた場合、アカウントに AWSServiceRoleForManagedServices_DetectiveControlsConfig ロールを作成できます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

AMS Accelerate の検出コントロール SLR の編集

AMS Accelerate では、AWSServiceRoleForManagedServices_DetectiveControlsConfig サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AMS Accelerate の検出コントロール SLR の削除

AWSServiceRoleForManagedServices_DetectiveControlsConfig ロールを手動で削除する必要はありません。 AWS Management Console、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForManagedServices_DetectiveControlsConfig サービスにリンクされたロールで使用される AMS Accelerate リソースを削除するには

ams-detective-controls-config-recorderアカウントが AMS でオンボーディングされたすべてのリージョンから ams-detective-controls-config-rules-cdkams-detective-controls-infrastructure-cdkスタックを削除します (最初に S3 バケットを手動で空にする必要がある場合があります)。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForManagedServices_DetectiveControlsConfig サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AMS Accelerate の Amazon EventBridge ルールサービスにリンクされたロール

AMS Accelerate は、AWSServiceRoleForManagedServices_Events という名前のサービスリンクロール (SLR) を使用します。このロールは、AWS Managed Services サービスプリンシパル (events.managedservices.amazonaws.com) の 1 つを信頼してロールを引き受けます。サービスは ロールを使用して Amazon EventBridge マネージドルールを作成します。このルールは、AWS アカウントから AWS AWS Managed Servicesにアラーム状態変更情報を配信するために必要なインフラストラクチャです。

AMS Accelerate 用 EventBridge SLR のアクセス許可

AWSServiceRoleForManagedServices_Events サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • events.managedservices.amazonaws.com

このロールにアタッチされているのは、 AWSManagedServices_EventsServiceRolePolicy AWS 管理ポリシーです (「」を参照AWS マネージドポリシー: AWSManagedServices_EventsServiceRolePolicy)。サービスは ロールを使用して、アカウントから AMS にアラーム状態変更情報を配信します。サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「 AWS Identity and Access Management ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

JSON AWSManagedServices_EventsServiceRolePolicy は、次の ZIP: EventsServiceRolePolicy.zip でダウンロードできます。

AMS Accelerate 用の EventBridge SLR の作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

重要

このサービスにリンクされたロールは、2023 年 2 月 7 日より前に AMS Accelerate サービスを使用していた場合、サービスにリンクされたロールのサポートが開始されたときに、AMS Accelerate によってアカウントに AWSServiceRoleForManagedServices_Events ロールが作成されました。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

AMS Accelerate 用の EventBridge SLR の編集

AMS Accelerate では、AWSServiceRoleForManagedServices_Events サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

AMS Accelerate 用の EventBridge SLR の削除

AWSServiceRoleForManagedServices_Events ロールを手動で削除する必要はありません。 AWS Management Console、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForManagedServices_Events サービスにリンクされたロールで使用される AMS Accelerate リソースを削除するには

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForManagedServices_Events サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AMS Accelerate のサービスにリンクされたロールに連絡する

AMS Accelerate は、AWSServiceRoleForManagedServices_Contacts という名前のサービスリンクロール (SLR) を使用します。このロールは、サービスが影響を受けるリソースの既存のタグを読み取って、適切な連絡先の設定済み E メールを取得できるようにすることで、インシデントが発生したときの自動通知を容易にします。

これは、このサービスにリンクされたロールを使用する唯一のサービスです。

AWSServiceRoleForManagedServices_Contacts サービスにリンクされたロールにアタッチされた管理ポリシーは、AWSManagedServices_ContactsServiceRolePolicy です。このポリシーの更新については、「AWS 管理ポリシーの更新を高速化する」を参照してください

AMS Accelerate の問い合わせ SLR のアクセス許可

AWSServiceRoleForManagedServices_Contacts サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • contacts-service.managedservices.amazonaws.com

このロールにアタッチされているのは、AWS AWSManagedServices_ContactsServiceRolePolicy 管理ポリシーです (「」を参照AWS マネージドポリシー: AWSManagedServices_ContactsServiceRolePolicy)。サービスは、 ロールを使用して任意の AWS リソースのタグを読み取り、インシデントが発生したときの適切な連絡先のタグに含まれる E メールを見つけます。このロールは、AMS が影響を受けるリソースでそのタグを読み取って E メールを取得できるようにすることで、インシデントが発生したときの自動通知を容易にします。詳細については、AWS 「 Identity and Access Management ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

重要

個人情報 (PII) などの機密情報や秘匿性の高い情報はタグに格納しないでください。AMS はタグを使用して管理サービスを提供します。タグは、プライベートデータや機密データに使用することを意図していません。

AWSManagedServices_ContactsServiceRolePolicy という名前のロールアクセス許可ポリシーにより、AMS Accelerate は指定されたリソースに対して次のアクションを実行できます。

  • アクション: Contacts Service が、AMS が任意の AWS リソースでインシデント通知を送信するための E メールを含むように特別に設定されたタグを読み取ることを許可します。

JSON AWSManagedServices_ContactsServiceRolePolicy は、次の ZIP: ContactsServicePolicy.zip でダウンロードできます。

AMS Accelerate の問い合わせ SLR の作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが作成されます。

重要

このサービスにリンクされたロールは、2023 年 2 月 16 日より前に AMS Accelerate サービスを使用していた場合、サービスにリンクされたロールのサポートを開始したときに、AMS Accelerate がアカウントに AWSServiceRoleForManagedServices_Contacts ロールを作成したときに、アカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AMS にオンボードすると、AMS Accelerate によってサービスにリンクされたロールが再度作成されます。

AMS Accelerate の問い合わせ SLR の編集

AMS Accelerate では、AWSServiceRoleForManagedServices_Contacts サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

AMS Accelerate の問い合わせ SLR の削除

AWSServiceRoleForManagedServices_Contacts ロールを手動で削除する必要はありません。 AWS Management Console、、または AWS API で AMS からオフボードすると、AMS Accelerate はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースを削除しようとしたときに AMS Accelerate サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForManagedServices_Contacts サービスにリンクされたロールで使用される AMS Accelerate リソースを削除するには

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForManagedServices_Contacts サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AMS Accelerate サービスにリンクされたロールでサポートされているリージョン

AMS Accelerate は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。

サービスにリンクされたロールの更新を高速化する

このサービスがこれらの変更の追跡を開始してからの Accelerate サービスにリンクされたロールの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、Accelerate AMS Accelerate ユーザーガイドのドキュメント履歴ページの RSS フィードにサブスクライブしてください。

変更 説明 日付

更新されたポリシー – Deployment Toolkit

  • これらの新しいアクセス許可がリソース に追加されましたarn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:BatchGetRepositoryScanningConfiguration
ecr:PutImageScanningConfiguration
 2024 年 4 月 4 日

更新されたポリシー – Deployment Toolkit

  • これらの新しいアクセス許可がリソース に追加されましたarn:aws:cloudformation:*:*:stack/ams-cdk-toolkit*

    cloudformation:DeleteChangeSet
cloudformation:DescribeStackEvents
cloudformation:GetTemplate
cloudformation:TagResource
cloudformation:UntagResource

  • これらの新しいアクセス許可がリソース に追加されましたarn:aws:ecr:*:*:repository/ams-cdktoolkit*

    ecr:CreateRepository
ecr:DeleteLifecyclePolicy
ecr:DeleteRepository
ecr:DeleteRepositoryPolicy
ecr:DescribeRepositories
ecr:GetLifecyclePolicy
ecr:ListTagsForResource
ecr:PutImageTagMutability
ecr:PutLifecyclePolicy
ecr:SetRepositoryPolicy
ecr:TagResource
ecr:UntagResource

  • また、ワイルドカードを持つ既存のアクションの一部は、個々のアクションにスコープダウンされました。

    - s3:DeleteObject*
+ s3:DeleteObject
+ s3:DeleteObjectTagging
+ s3:DeleteObjectVersion
+ s3:DeleteObjectVersionTagging

- s3:GetObject*
+ s3:GetObject
+ s3:GetObjectAcl
+ s3:GetObjectAttributes
+ s3:GetObjectLegalHold
+ s3:GetObjectRetention
+ s3:GetObjectTagging
+ s3:GetObjectVersion
+ s3:GetObjectVersionAcl
+ s3:GetObjectVersionAttributes
+ s3:GetObjectVersionForReplication
+ s3:GetObjectVersionTagging
+ s3:GetObjectVersionTorrent

- cloudformation:UpdateTermination*
+ cloudformation:UpdateTerminationProtection
 2023 年 5 月 9 日

更新されたポリシー – Detective Controls

  • CloudFormation アクションは、セキュリティおよびアクセスチームに確認した後、さらに絞り込まれました。

  • Lambda アクションはオンボーディング/オフのオンボーディングに影響を与えないため、ポリシーから削除されました

 2023 年 4 月 10 日

更新されたポリシー – Detective Controls

ポリシーを更新し、アクセス許可の境界ポリシーを追加しました。

 2023 年 3 月 21 日

新しいサービスにリンクされたロール – SLR への問い合わせ

Accelerate は、問い合わせサービスの新しいサービスにリンクされたロールを追加しました。

このロールは、サービスが影響を受けるリソースの既存のタグを読み取って、適切な連絡先の設定済み E メールを取得できるようにすることで、インシデントが発生したときの自動通知を容易にします。

 2023 年 2 月 16 日

新しいサービスにリンクされたロール – EventBridge

Accelerate は、Amazon EventBridge ルールに新しいサービスにリンクされたロールを追加しました。

このロールは、AWS Managed Services サービスプリンシパル (events.managedservices.amazonaws.com) の 1 つを信頼してロールを引き受けます。サービスは ロールを使用して Amazon EventBridge マネージドルールを作成します。このルールは、AWS アカウントから AWS AWS Managed Servicesにアラーム状態変更情報を配信するために必要なインフラストラクチャです。

 2023 年 2 月 7 日

更新されたサービスにリンクされたロール – Deployment Toolkit

新しい S3 アクセス許可を使用して、更新された AWSServiceRoleForAWSManagedServicesDeploymentToolkit を高速化します。

これらの新しいアクセス許可が追加されました。

"s3:GetLifecycleConfiguration",
"s3:GetBucketLogging",
"s3:ListBucket",
"s3:GetBucketVersioning",
"s3:PutLifecycleConfiguration",
"s3:GetBucketLocation",
"s3:GetObject*"
 2023 年 1 月 30 日

Accelerate が変更の追跡を開始

Accelerate は、サービスにリンクされたロールの変更の追跡を開始しました。

 2022 年 11 月 30 日

新しいサービスにリンクされたロール – Detective Controls

Accelerate は、 Accelerate 検出コントロールをデプロイするための新しいサービスにリンクされたロールを追加しました。

AWS Managed Services はこのサービスにリンクされたロールを使用して、config-recorder、config ルール、S3 バケット検出コントロールをデプロイします。

 2022 年 10 月 13 日

新しいサービスにリンクされたロール – Deployment Toolkit

Accelerate は、 Accelerate インフラストラクチャをデプロイするための新しいサービスにリンクされたロールを追加しました。

このロールは、AMS Accelerate インフラストラクチャをカスタマーアカウントにデプロイします。

 2022 年 6 月 9 日