View a markdown version of this page

VPC ネットワーキングのサービスにリンクされたロール - AWS HealthOmics
サービスにリンクされたロールの詳細付与されたアクセス許可サービスリンクロールの作成サービスリンクロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

VPC ネットワーキングのサービスにリンクされたロール

HealthOmics は、IAM サービスにリンクされたロールを使用して、VPC 内の Elastic Network Interface (ENIsを作成および管理します。このロールは、最初の VPC 設定を作成すると自動的に作成されます。

サービスにリンクされたロールの詳細

  • ロール名: AWSServiceRoleForHealthOmics

  • 管理ポリシー: AWSHealthOmicsServiceLinkedRolePolicy

  • サービスプリンシパル: omics.amazonaws.com

付与されたアクセス許可

サービスにリンクされたロールは、VPC 内のネットワークインターフェイスを管理するための次の Amazon EC2 アクセス許可を HealthOmics に付与します。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Sid": "AllowEC2DescribeActions",
      "Effect": "Allow",
      "Action": [
        "ec2:DescribeSubnets",
        "ec2:DescribeTags",
        "ec2:DescribeSecurityGroups",
        "ec2:DescribeSecurityGroupRules",
        "ec2:DescribeVpcs",
        "ec2:DescribeNetworkInterfaces",
        "ec2:DescribeAvailabilityZones"
      ],
      "Resource": "*"
    },
    {
      "Sid": "AllowVpcGetActions",
      "Effect": "Allow",
      "Action": [
        "ec2:GetSecurityGroupsForVpc"
      ],
      "Resource": "arn:aws:ec2:*:*:vpc/*"
    },
    {
      "Sid": "AllowCreateNetworkInterfaceWithTag",
      "Effect": "Allow",
      "Action": "ec2:CreateNetworkInterface",
      "Resource": "arn:aws:ec2:*:*:network-interface/*",
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/Service": "HealthOmics"
        }
      }
    },
    {
      "Sid": "AllowCreateNetworkInterfaceSubnetSecurityGroup",
      "Effect": "Allow",
      "Action": "ec2:CreateNetworkInterface",
      "Resource": [
        "arn:aws:ec2:*:*:subnet/*",
        "arn:aws:ec2:*:*:security-group/*"
      ]
    },
    {
      "Sid": "AllowCreateTags",
      "Effect": "Allow",
      "Action": "ec2:CreateTags",
      "Resource": "arn:aws:ec2:*:*:network-interface/*",
      "Condition": {
        "StringEquals": {
          "ec2:CreateAction": "CreateNetworkInterface"
        }
      }
    },
    {
      "Sid": "AllowDeleteNetworkInterface",
      "Effect": "Allow",
      "Action": "ec2:DeleteNetworkInterface",
      "Resource": "arn:aws:ec2:*:*:network-interface/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Service": "HealthOmics"
        }
      }
    },
    {
      "Sid": "AllowAssignUnassignPrivateIpAddresses",
      "Effect": "Allow",
      "Action": [
        "ec2:AssignPrivateIpAddresses",
        "ec2:UnassignPrivateIpAddresses"
      ],
      "Resource": "arn:aws:ec2:*:*:network-interface/*",
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/Service": "HealthOmics"
        }
      }
    }
  ]
}

サービスリンクロールの作成

サービスにリンクされたロールは、 CreateConfiguration API を使用して最初の VPC 設定を作成すると自動的に作成されます。次の IAM アクセス許可が必要です。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": "iam:CreateServiceLinkedRole",
      "Resource": "arn:aws:iam::*:role/aws-service-role/omics.amazonaws.com/AWSServiceRoleForHealthOmics",
      "Condition": {
        "StringEquals": {
          "iam:AWSServiceName": "omics.amazonaws.com"
        }
      }
    }
  ]
}

サービスリンクロールの削除

サービスにリンクされたロールは、アカウント内のすべての VPC 設定を削除した後にのみ削除できます。ロールを削除するには:

aws iam delete-service-linked-role \
  --role-name AWSServiceRoleForHealthOmics

アクティブな VPC 設定がある場合、削除は失敗し、最初に削除する必要がある設定リソースを示すメッセージが表示されます。