Site-to-Site VPN のサービスにリンクされたロールの使用 - AWS Site-to-Site VPN
Site-to-Site VPN のサービスにリンクされたロールのアクセス許可Site-to-Site VPN サービスにリンクされたロールを作成するSite-to-Site VPN のサービスにリンクされたロールを編集するSite-to-Site VPN サービスにリンクされたロールを削除する

Site-to-Site VPN のサービスにリンクされたロールの使用

AWS Site-to-Site VPN は、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Site-to-Site VPN に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Site-to-Site VPN によって事前に定義されており、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Site-to-Site VPN の設定が簡単になります。Site-to-Site VPN は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Site-to-Site VPN のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、Site-to-Site VPN リソースは保護されます。

Site-to-Site VPN のサービスにリンクされたロールのアクセス許可

Site-to-Site VPN は、AWSServiceRoleForVPCS2SVPN という名前のサービスにリンクされたロールを使用します。これにより、Site-to-Site VPN は、ユーザーの VPN 接続に関連するリソースを作成および管理できます。

AWSServiceRoleForVPCS2SVPN のサービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • s2svpn.amazonaws.com

このサービスリンクロールは、マネージドポリシーである AWSVPCS2SVpnServiceRolePolicy を使用して、指定されたリソースに対して次のアクションを完了します。

  • VPN 接続に証明書認証を使用する場合、AWS Site-to-Site VPN は VPN トンネルエンドポイントで使用する VPN トンネル AWS Certificate Manager 証明書をエクスポートします。

  • VPN 接続に証明書認証を使用する場合、AWS Site-to-Site VPN は VPN トンネル AWS Certificate Manager 証明書の更新を管理します。

  • VPN 接続に SecretsManager 事前共有キーストレージを使用する場合、AWS Site-to-Site VPN は VPN 接続の AWS Secrets Manager s2svpn マネージドシークレットを管理します。

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSVPCS2SVpnServiceRolePolicy」を参照してください。

Site-to-Site VPN サービスにリンクされたロールを作成する

サービスリンクロールを手動で作成する必要はありません。関連付けられた ACM プライベート証明書を使用して AWS マネジメントコンソール、AWS CLI、または AWS API でカスタマーゲートウェイを作成すると、Site-to-Site VPN によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。関連付けられた ACM プライベート証明書を使用してカスタマーゲートウェイを作成すると、Site-to-Site VPN によってサービスにリンクされたロールが再度作成されます。

Site-to-Site VPN のサービスにリンクされたロールを編集する

Site-to-Site VPN で、AWSServiceRoleForVPCS2SVPN のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Site-to-Site VPN サービスにリンクされたロールを削除する

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Site-to-Site VPN サービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

AWSServiceRoleForVPCS2SVPN が使用する Site-to-Site VPN リソースを削除するには

このサービスにリンクされたロールは、関連付けられた ACM プライベート証明書を持つすべてのカスタマーゲートウェイを削除した後にのみ削除できます。これにより、Site-to-Site VPN 接続で使用されている ACM 証明書へのアクセス許可を誤って削除してしまうことがなくなります。

IAM を使用してサービスにリンクされたロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールである AWSServiceRoleForVPCS2SVPN を削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。