VPC のサービスにリンクされたロールの使用
Amazon VPC は、AWS Identity and Access Management (IAM) のサービスにリンクされたロールを使用します。サービスリンクロールは、VPC に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、VPC が事前定義しており、このサービスがお客様の代わりにその他の AWS サービスを呼び出すのに必要なアクセス許可がすべて含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、VPC の設定が簡単になります。VPC は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、VPC のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、VPC リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照し、サービスリンクロール列内ではいと表記されたサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。
VPC のサービスにリンクされたロールのアクセス許可
VPC は、AWSServiceRoleForNATGateway という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールにより、Amazon VPC はユーザーに代わって Elastic IP アドレスを割り当ててリージョン NAT ゲートウェイを自動的にスケールし、リクエストに応じて既存の Elastic IP をリージョン NAT ゲートウェイに関連付け/関連付け解除したり、ネットワークインターフェイスを記述して既存のインフラストラクチャを識別し、新しいアベイラビリティーゾーンに自動的に拡張したりできます。
AWSServiceRoleForNATGateway サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
-
ec2-nat-gateway.amazonaws.com
AWSNATGatewayServiceRolePolicy という名前のロール許可ポリシーは、指定されたリソースで VPC が以下のアクションを完了できるようにします。
-
アクション: サービスマネージド EIP の
AllocateAddressを使用して、ユーザーに代わり EIP を割り当てます。サービスマネージド EIP により、サービスマネージドタグと ReleaseAddress による後続のタグ付けが自動的に処理されます。 -
アクション: 既存の Elastic IP アドレスで
AssociateAddressを使用して、リクエストに応じリージョン NAT ゲートウェイに手動で関連付けます。 -
アクション: 既存の Elastic IP アドレスで
DisassociateAddressを使用して、リクエストに応じリージョン NAT ゲートウェイから削除します。 -
アクション:
DescribeAddressesを使用して、関連付けで顧客が指定した EIP からパブリック IP アドレス情報を取得します。 -
アクション: 既存のネットワークインターフェイスで、
DescribeNetworkInterfaceを使用してインフラストラクチャが存在するアベイラビリティーゾーンを自動的に識別し、新しいゾーンに自動的にスケールアウトします。
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。
VPC のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API で「リージョン」アベイラビリティーモードを使用して NAT ゲートウェイを作成すると、VPC によってサービスにリンクされたロールが作成されます。
重要
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、2017 年 1 月 1 日以前に VPC サービスを使用していた場合、サービスにリンクされたロールのサポートが開始された時点で、VPC が [AWSServiceRoleForNATGateway] ロールをアカウントに作成済みです。詳細については、「AWS アカウントに新しいロールが表示される」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。「リージョン」アベイラビリティーモードで NAT ゲートウェイを作成すると、VPC によってサービスにリンクされたロールが再度作成されます。
また、AWSServiceRoleForNATGateway ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用できます。AWS CLI または AWS API では、ec2-nat-gateway.amazonaws.com サービス名を使用してサービスリンクロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
VPC のサービスにリンクされたロールの編集
VPC では、AWSServiceRoleForNATGateway のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
VPC のサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除する際に、VPC のサービスでロールが使用されていると、削除に失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForNATGateway が使用する VPC リソースを削除するには
-
デプロイされたすべてのリージョンで、すべてのリージョン NAT ゲートウェイを削除します。
サービスリンクロールを IAM で手動削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForNATGateway サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
VPC のサービスにリンクされたロールをサポートするリージョン
VPC は、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。
VPC は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForNATGateway ロールは、以下のリージョンで使用できます。
| リージョン名 | リージョン識別子 | VPC でのサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アフリカ (ケープタウン) | af-south-1 | はい |
| アジアパシフィック (香港) | ap-east-1 | あり |
| アジアパシフィック (台北) | ap-east-2 | あり |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | あり |
| アジアパシフィック (ハイデラバード) | ap-south-2 | あり |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | あり |
| アジアパシフィック (メルボルン) | ap-southeast-4 | あり |
| アジアパシフィック (マレーシア) | ap-southeast-5 | あり |
| アジアパシフィック (ニュージーランド) | ap-southeast-6 | あり |
| アジアパシフィック (タイ) | ap-southeast-7 | あり |
| カナダ (中部) | ca-central-1 | あり |
| カナダ西部 (カルガリー) | ca-west-1 | あり |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (チューリッヒ) | eu-central-2 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (ミラノ) | eu-south-1 | あり |
| 欧州 (スペイン) | eu-south-2 | あり |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | あり |
| イスラエル (テルアビブ) | il-central-1 | あり |
| 中東 (バーレーン) | me-south-1 | あり |
| 中東 (アラブ首長国連邦) | me-central-1 | あり |
| 中東 (サウジアラビア) | me-west-1 | あり |
| メキシコ (中部) | mx-central-1 | あり |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (米国東部) | us-gov-east-1 | いいえ |
| AWS GovCloud (米国西部) | us-gov-west-1 | いいえ |
