Oracle Database@AWS のサービスにリンクされたロールの使用 - Oracle Database@AWS
Oracle Database@AWS のサービスリンクロールのアクセス許可Oracle Database@AWS のサービスにリンクされたロールをサポートするリージョン

Oracle Database@AWS のサービスにリンクされたロールの使用

Oracle Database@AWS では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、Oracle Database@AWS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Oracle Database@AWS によって事前定義されており、サービスがユーザーに代わって他の AWS のサービス を呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールは必要なアクセス許可を手動で追加する必要がないため、より簡単に Oracle Database@AWS を使用できます。Oracle Database@AWS はこのサービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、Oracle Database@AWS のみがそのロールを引き受けます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

ロールを削除するには、まず関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、Oracle Database@AWS リソースが保護されます。

Oracle Database@AWS のサービスリンクロールのアクセス許可

Oracle Database@AWS は、AWSServiceRoleForODB というサービスにリンクされたロールを使用して、Oracle Database@AWS がリソースの代わりに AWS のサービスを呼び出せるようにします。

サービスにリンクされたロール AWSServiceRoleForODB は、次のサービスを信頼してロールを引き受けます。

  • odb.amazonaws.com

  • vpc-lattice.amazonaws.com

このサービスにリンクされたロールには、アカウントで操作するためのアクセス許可を付与する AmazonODBServiceRolePolicy というアクセス許可ポリシーがアタッチされています。詳細については、「AWS マネージドポリシー: AmazonODBServiceRolePolicy」を参照してください。

注記

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。次のエラーメッセージが表示された場合は、以下のように対応します。

リソースを作成できません。サービスにリンクされたロールを作成するために必要なアクセス許可があることを確認します。それ以外の場合は、時間をおいてからもう一度お試しください。

次のアクセス許可が有効であることを確認します。

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/odb.amazonaws.com/AWSServiceRoleForODB",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"odb.amazonaws.com",
            "iam:AWSServiceName":"vpc-lattice.amazonaws.com"
        }
    }
}

詳細については、「IAM ユーザーガイド」の「サービスリンクされたロールのアクセス許可」を参照してください。

Oracle Database@AWS のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。Exadata データベースを作成すると、Oracle Database@AWS によって、サービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Exadata データベースを作成すると、Oracle Database@AWS によって、サービスにリンクされたロールが再度作成されます。

Oracle Database@AWS のサービスにリンクされたロールの編集

Oracle Database@AWS では、AWSServiceRoleForODB のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Oracle Database@AWS のサービスリンクロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、サービスにリンクされたロールを削除する前に、すべてのリソースを削除する必要があります。

Oracle Database@AWS のサービスリンクロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除するには、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースをすべて削除する必要があります。

サービスにリンクされたロールにアクティブなセッションがあるかどうかを、IAM コンソールで確認するには

  1. AWS マネジメントコンソール にサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで [ロール] を選択します。次に、AWSServiceRoleForODB ロールの名前 (チェックボックスではありません) を選択します。

  3. 選択したロールの [概要] ページで、[アクセスアドバイザー] タブを選択します。

  4. [Access Advisor] タブで、サービスにリンクされたロールの最新のアクティビティを確認します。

注記

Oracle Database@AWS が [AWSServiceRoleForODB] ロールを使用しているかどうか不明な場合は、ロールを削除してみてください。サービスでロールが使用されている場合、削除は失敗し、ロールが使用されている AWS リージョン リージョンを表示できます。ロールが使用されている場合は、ロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。

AWSServiceRoleForODB ロールを削除する場合は、まず Oracle Database@AWS リソースをすべて削除する必要があります。

Oracle Database@AWS のサービスにリンクされたロールをサポートするリージョン

Oracle Database@AWS では、このサービスが利用可能なすべての AWS リージョン で、サービスリンクロールの使用をサポートしています。詳細については、「AWS リージョン およびエンドポイント」を参照してください。