AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールのアクセス許可 AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールを作成する AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールを編集する AWS Shield ネットワークセキュリティディレクター向けのサービスにリンクされたロールを削除する AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールでサポートされているリージョン

AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの使用

このセクションでは、サービスにリンクされたロールを使用して AWS Shield ネットワークセキュリティディレクターに AWS アカウント内のリソースへのアクセス権限を付与する方法について説明します。

AWS Shield ネットワークセキュリティディレクターは、AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS Shield ネットワークセキュリティディレクターに直接リンクされた固有の IAM ロールタイプです。サービスリンクロールは、AWS Shield ネットワークセキュリティディレクターによって事前定義されており、ユーザーの代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。

サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Shield ネットワークセキュリティディレクターの設定が簡単になります。このサービスリンクロールのアクセス許可は AWS Shield ネットワークセキュリティディレクターで定義します。特に定義されている場合を除き、AWS Shield ネットワークセキュリティディレクターのみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

IAM コンソールで、完全にサービスにリンクされたロール: NetworkSecurityDirectorServiceLinkedRolePolicy を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」を参照して、[サービスにリンクされたロール] 列が [はい] になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[はい] リンクを選択してください。

AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールのアクセス許可

NetworkSecurityDirectorServiceLinkedRolePolicy サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。

network-director.amazonaws.com

NetworkSecurityDirectorServiceLinkedRolePolicy は、ユーザーに代わってさまざまな AWS リソースやサービスにアクセスして分析するためのアクセス許可を AWS Shield ネットワークセキュリティディレクターに付与します。これには、以下が含まれます。

Amazon EC2 リソースからネットワーク設定とセキュリティ設定を取得する
CloudWatch メトリクスにアクセスしてネットワークトラフィックパターンを分析する
ロードバランサーとターゲットグループに関する情報を収集する
AWS WAF 設定とルールを収集する
AWS Direct Connect ゲートウェイ情報にアクセスする
さらに、以下のアクセス許可リストで詳しく説明しています

次のリストは、特定のリソースへのダウンスコープをサポートしていないアクセス許可を対象としています。残りは、指定されたサービスリソースに対してダウンスコープされます。



 {
  "Sid": "ResourceLevelPermissionNotSupported",
  "Effect": "Allow",
  "Action": [
    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeCustomerGateways",
    "ec2:DescribeInstances",
    "ec2:DescribeInternetGateways",
    "ec2:DescribeManagedPrefixLists",
    "ec2:DescribeNatGateways",
    "ec2:DescribeNetworkAcls",
    "ec2:DescribeNetworkInterfaces",
    "ec2:DescribePrefixLists",
    "ec2:DescribeRegions",
    "ec2:DescribeRouteTables",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ec2:DescribeTransitGateways",
    "ec2:DescribeTransitGatewayVpcAttachments",
    "ec2:DescribeTransitGatewayAttachments",
    "ec2:DescribeTransitGatewayPeeringAttachments",
    "ec2:DescribeTransitGatewayRouteTables",
    "ec2:DescribeVpcEndpoints",
    "ec2:DescribeVpcEndpointServiceConfigurations",
    "ec2:DescribeVpcPeeringConnections",
    "ec2:DescribeVpcs",
    "ec2:DescribeVpnConnections",
    "ec2:DescribeVpnGateways",
    "ec2:GetTransitGatewayRouteTablePropagations",
    "ec2:GetManagedPrefixListEntries",
    "elasticloadbalancing:DescribeLoadBalancers",
    "elasticloadbalancing:DescribeTargetGroups",
    "elasticloadbalancing:DescribeTags",
    "elasticloadbalancing:DescribeListeners",
    "elasticloadbalancing:DescribeTargetHealth",
    "elasticloadbalancing:DescribeTargetGroupAttributes",
    "elasticloadbalancing:DescribeRules",
    "elasticloadbalancing:DescribeLoadBalancencerAttributes",
    "wafv2:ListWebACLs",
    "cloudfront:ListDistributions",
    "cloudfront:ListTagsForResource",
    "directconnect:DescribeDirectConnectGateways",
    "directconnect:DescribeVirtualInterfaces"
  ],
  "Resource": "*"
}

`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスにリンクされたロールのアクセス許可

次のリストは、NetworkSecurityDirectorServiceLinkedRolePolicy サービスにリンクされたロールによって有効になっているすべてのアクセス許可を対象としています。

Amazon CloudFront



 {
  "Sid": "cloudfront",
  "Effect": "Allow",
  "Action": [
    "cloudfront:GetDistribution"
  ],
  "Resource": "arn:aws:cloudfront::*:distribution/*"
 }

AWS WAF



 {
  "Sid": "wafv2",
  "Effect": "Allow",
  "Action": [
    "wafv2:ListResourcesForWebACL",
    "wafv2:ListRuleGroups",
    "wafv2:ListAvailableManagedRuleGroups",
    "wafv2:GetRuleGroup",
    "wafv2:DescribeManagedRuleGroup",
    "wafv2:GetWebACL"
  ],
  "Resource": [
    "arn:aws:wafv2:*:*:global/rulegroup/*",
    "arn:aws:wafv2:*:*:regional/rulegroup/*",
    "arn:aws:wafv2:*:*:global/managedruleset/*",
    "arn:aws:wafv2:*:*:regional/managedruleset/*",
    "arn:aws:wafv2:*:*:global/webacl/*/*",
    "arn:aws:wafv2:*:*:regional/webacl/*/*",
    "arn:aws:apprunner:*:*:service/*",
    "arn:aws:cognito-idp:*:*:userpool/*",
    "arn:aws:ec2:*:*:verified-access-instance/*"
  ]
 }

AWS WAF Classic



 {
  "Sid": "classicWaf",
  "Effect": "Allow",
  "Action": [
    "waf:ListWebACLs",
    "waf:GetWebACL"
  ],
  "Resource": [
    "arn:aws:waf::*:webacl/*",
    "arn:aws:waf-regional:*:*:webacl/*"
  ]
}

AWS Direct Connect



 {
  "Sid": "directconnect",
  "Effect": "Allow",
  "Action": [
    "directconnect:DescribeConnections",
    "directconnect:DescribeDirectConnectGatewayAssociations",
    "directconnect:DescribeDirectConnectGatewayAttachments",
    "directconnect:DescribeVirtualGateways"
  ],
  "Resource": [
    "arn:aws:directconnect::*:dx-gateway/*",
    "arn:aws:directconnect:*:*:dxcon/*",
    "arn:aws:directconnect:*:*:dxlag/*",
    "arn:aws:directconnect:*:*:dxvif/*"
  ]
 }

AWS Transit Gateway ルート



 {
  "Sid": "ec2Get",
  "Effect": "Allow",
  "Action": [
    "ec2:SearchTransitGatewayRoutes"
  ],
  "Resource": [
    "arn:aws:ec2:*:*:transit-gateway-route-table/*"
  ]
 }

AWS Network Firewall



 {
  "Sid": "networkFirewall",
  "Effect": "Allow",
  "Action": [
    "network-firewall:ListFirewalls",
    "network-firewall:ListFirewallPolicies",
    "network-firewall:ListRuleGroups",
    "network-firewall:DescribeFirewall",
    "network-firewall:DescribeFirewallPolicy",
    "network-firewall:DescribeRuleGroup"
  ],
  "Resource": [
    "arn:aws:network-firewall:*:*:*/*"
  ]
}

Amazon API Gateway



 {
   "Sid": "apiGatewayGetAPI",
   "Effect": "Allow",
   "Action": [
     "apigateway:GET"
   ],
  "Resource": [
    "arn:aws:apigateway:*::/restapis",
    "arn:aws:apigateway:*::/restapis/*",
    "arn:aws:apigateway:*::/apis",
    "arn:aws:apigateway:*::/apis/*",
    "arn:aws:apigateway:*::/tags/*",
    "arn:aws:apigateway:*::/vpclinks",
    "arn:aws:apigateway:*::/vpclinks/*"
  ]
 }

AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールを作成する

サービスリンクロールを手動で作成する必要はありません。最初のネットワーク分析を実行すると、AWS Shield ネットワークセキュリティディレクターはサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。AWS Shield ネットワークセキュリティディレクターのログ記録を有効にすると、AWS Shield ネットワークセキュリティディレクターはサービスにリンクされたロールを再度作成します。

AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールを編集する

AWS Shield ネットワークセキュリティディレクターでは、サービスにリンクされたロールの編集NetworkSecurityDirectorServiceLinkedRolePolicyは許可されていません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

AWS Shield ネットワークセキュリティディレクター向けのサービスにリンクされたロールを削除する

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

これによりAWS Shield ネットワークセキュリティディレクターリソースに対するアクセス許可が誤って削除されることを防ぎ、それらのリソースを保護できます。

注記

リソースを削除する際に、AWS Shield ネットワークセキュリティディレクターサービスでそのロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。

IAM を使用してサービスリンクロールを手動で削除するには

NetworkSecurityDirectorServiceLinkedRolePolicy サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールでサポートされているリージョン

注記

AWS Shield ネットワークセキュリティディレクターはパブリックプレビューリリースであり、変更される可能性があります。

AWS Shield ネットワークセキュリティディレクターは、以下のリージョンでサービスにリンクされたロールの使用をサポートしており、これらのリージョンのリソースに関するデータのみを取得できます。

リージョン名	リージョン
US East (N. Virginia)	us-east-1
Europe (Stockholm)	eu-north-1

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

アイデンティティベースのポリシーの例

AWS CloudTrail を使用した AWS Shield ネットワークセキュリティディレクター API コールのログ記録