**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Shield Advanced のサービスにリンクされたロールの使用
<a name="shd-using-service-linked-roles"></a>

このセクションでは、サービスにリンクされたロールを使用して、Shield Advanced に AWS アカウントのリソースへのアクセスを許可する方法について説明します。

AWS Shield Advanced は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Shield Advanced に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Shield Advanced によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Shield Advanced の設定が簡単になります。Shield Advanced は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、Shield Advanced のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、Shield Advanced リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。そのサービスに関するサービスにリンクされたロールに関するドキュメントを表示するには、リンクが設定されている **[Yes]** (はい) を選択します。

## Shield Advanced のサービスにリンクされたロールの許可
<a name="shd-slr-permissions"></a>

Shield Advanced は、**AWSServiceRoleForAWSShield** という名前のサービスにリンクされたロールを使用します。このロールにより、Shield Advanced はユーザーに代わってアプリケーションレイヤー DDoS 攻撃に自動的に対応するために、 AWS リソースにアクセスして管理できます。この関数の詳細については、「[Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和](ddos-automatic-app-layer-response.md)」を参照してください。

サービスにリンクされたロール AWSServiceRoleForAWSShield は、次のサービスを信頼してロールを引き受けます。
+ `shield.amazonaws.com`

AWSShieldServiceRolePolicy という名前のロールアクセス許可ポリシーにより、Shield Advanced はすべての AWS リソースに対して次のアクションを実行できます。
+ `wafv2:GetWebACL`
+ `wafv2:UpdateWebACL`
+ `wafv2:GetWebACLForResource`
+ `wafv2:ListResourcesForWebACL`
+ `cloudfront:ListDistributions`
+ `cloudfront:GetDistribution`

すべての AWS リソースでアクションが許可されている場合、これはポリシーに と表示されます`"Resource": "*"`。これは、サービスにリンクされたロールが、アクションが*サポートする*すべての AWS リソースに対して、指定された各アクションを実行できることを意味します。例えば、アクション `wafv2:GetWebACL` は `wafv2` ウェブ ACL リソースでのみサポートされます。

Shield Advanced は、アプリケーションレイヤー保護機能を有効にしている保護されたリソースと、それらの保護されたリソースに関連付けられているウェブ ACL についてのみ、リソースレベルの API コールを実行します。

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## Shield Advanced のサービスにリンクされたロールの作成
<a name="shd-create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API でリソースのアプリケーションレイヤー DDoS 自動緩和を有効にすると、Shield Advanced によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。リソースのためにアプリケーションレイヤー DDoS 自動緩和を有効にすると、Shield Advanced は、サービスにリンクされたロールを再作成します。

## Shield Advanced のサービスにリンクされたロールの編集
<a name="shd-edit-slr"></a>

Shield Advanced で、AWSServiceRoleForAWSShield のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Shield Advanced のサービスにリンクされたロールの削除
<a name="shd-delete-slr"></a>

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除する際に、Shield Advanced でロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってからオペレーションを再試行してください。

**AWSServiceRoleForAWSShield で使用されている Shield Advanced リソースを削除するには**

アプリケーションレイヤー DDoS 保護が設定されているすべてのリソースについて、アプリケーションレイヤー DDoS 自動緩和を無効にします。コンソールの手順については、「[アプリケーションレイヤー DDoS 保護を設定する](manage-protection.md#configure-app-layer-protection)」を参照してください。

**IAM を使用して、サービスにリンクされたロールを手動で削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAWSShield サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。

## Shield Advanced のサービスにリンクされたロールをサポートするリージョン
<a name="shd-slr-regions"></a>

Shield Advanced では、このサービスが利用可能なすべての リージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「[Shield Advanced エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/shield.html)」を参照してください。