AWS RAM のサービスにリンクされたロールの使用 - AWS Resource Access Manager
サービスにリンクされたロールのアクセス許可サービスにリンクされたロールの作成サービスにリンクされたロールの編集サービスにリンクされたロールの削除サポート対象のリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS RAM のサービスにリンクされたロールの使用

AWS Resource Access Manager は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスにリンクされたロールは、AWS RAM のサービスに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS による事前定義済みのロールであり、ユーザーに代わって AWS RAM から AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がなくなるため、AWS RAM の設定が簡単になります。AWS RAM は、このサービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、AWS RAM のみがそのサービスにリンクされたロールを引き受けることができます。定義した許可には、信頼ポリシーと許可ポリシーの両方が含まれます。この許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」を参照して、[サービスにリンクされたロール] 列が [はい] になっているサービスを見つけてください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。

のサービスにリンクされたロールのアクセス許可AWS RAM

AWS Organizations で共有を有効化すると、AWS RAM は AWSServiceRoleForResourceAccessManager という名前のサービスにリンクされたロールを使用します。このロールは、メンバーアカウントのリストや各アカウントが所属する組織単位など、組織の詳細を表示するアクセス許可を AWS RAM サービスに付与します。

このサービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • ram.amazonaws.com

アクセス許可ポリシー「AWSResourceAccessManagerServiceRolePolicy」がこのサービスにリンクされたロールにアタッチされ、AWS RAM は指定されたリソースで以下のアクションを完了できるようになります。

  • アクション: 組織構造の詳細を取得する読み取り専用アクション。アクションの完全なリストについては、IAM コンソールで AWSResourceAccessManagerServiceRolePolicy を参照してください。

プリンシパルが組織内での AWS RAM 共有を有効化するには、プリンシパル (ユーザー、グループ、ロールなどの IAM エンティティ) に、サービスにリンクされたロールを作成するためのアクセス許可が必要です。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。

のサービスにリンクされたロールの作成AWS RAM

サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソール で組織内での AWS RAM 共有を有効にするか、AWS CLI または AWS API を使用してアカウントで EnableSharingWithAwsOrganization を実行すると、AWS RAM はサービスにリンクされたロールを自動的に作成します。

enable-sharing-with-aws-organizations を呼び出、サービスにリンクされたロールをアカウントに作成します。

このサービスにリンクされたロールを削除すると、組織構造の詳細を表示する AWS RAM の権限は失われます。

AWS RAM のサービスにリンクされたロールの編集

AWS RAM で、AWSResourceAccessManagerServiceRolePolicy のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

のサービスにリンクされたロールの削除AWS RAM

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールを手動で削除できます。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSResourceAccessManagerServiceRolePolicy サービスリンクロールを削除します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

AWS RAM サービスにリンクされたロールがサポートされるリージョン

AWS RAM は、 のサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、AWS の「Amazon Web Services 全般のリファレンス のリージョンとエンドポイント」を参照してください。