Amazon WorkMail のサービスリンクロールの使用 - Amazon WorkMail
Amazon WorkMail のサービスリンクロール許可Amazon WorkMail のサービスリンクロールの作成Amazon WorkMail のサービスリンクロールの編集Amazon WorkMail のサービスリンクロールの削除Amazon WorkMail のサービスリンクロールがサポートされるリージョン

Amazon WorkMail のサービスリンクロールの使用

Amazon WorkMail は、AWS Identity and Access Management (IAM) サービスリンクロールを使用しています。サービスにリンクされたロールは、Amazon WorkMail に直接リンクされた特殊な IAM ロールです。サービスリンクロールは Amazon WorkMail によって事前に定義されており、サービスがユーザーに代わって AWS のその他サービスを呼び出すために必要なすべての許可が含まれています。

必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon WorkMail のセットアップを容易にします。サービスリンクロールの許可は Amazon WorkMail が定義し、別段の定義がない限り、Amazon WorkMail のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon WorkMail リソースを保護します。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」で「サービスにリンクされたロール」列が「はい」になっているサービスを検索してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「はい」のリンクをクリックします。

Amazon WorkMail のサービスリンクロール許可

Amazon WorkMail では、AmazonWorkMailEvents という名前のサービスリンクロールを使用します。Amazon WorkMail は、このサービスリンクロールを使用して、CloudWatch によってログ記録された E メールイベントのモニタリングなど、Amazon WorkMail イベントによって使用または管理される AWS のサービスとリソースにアクセスできます。Amazon WorkMail の E メールのイベントのログ記録の有効化の詳細については、E メールイベントログ記録の有効化 を参照してください。

AmazonWorkMailEvents サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • events.workmail.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon WorkMail に許可します。

  • アクション: all AWS resources 上の logs:CreateLogGroup

  • アクション: logs:CreateLogStream 上でall AWS resources

  • アクション: logs:PutLogEvents 上でall AWS resources

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、IAM ユーザーガイドサービスにリンクされたロールのアクセス許可を参照してください。

Amazon WorkMail のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。Amazon WorkMail イベントログを有効にして Amazon WorkMail コンソールでデフォルト設定を使用すると、Amazon WorkMail によってサービスリンクロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Amazon WorkMail イベントログを有効にしてデフォルト設定を使用すると、Amazon WorkMail によってサービスリンクロールが作成されます。

Amazon WorkMail のサービスリンクロールの編集

Amazon WorkMail では、AmazonWorkMailEvents サービスリンクロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、IAM ユーザーガイドサービスにリンクされたロールの編集を参照してください。

Amazon WorkMail のサービスリンクロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしているときに Amazon WorkMail サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AmazonWorkMailEvents によって使用されている Amazon WorkMail リソースを削除するには

  1. Amazon WorkMail イベントのログ記録を無効にします。

    1. Amazon WorkMail コンソール (https://console.aws.amazon.com/workmail/) を開きます。

      必要に応じて AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、[リージョンを選択] リストを開き、リージョンを選択します。詳細については、「Amazon Web Services 全般のリファレンス」の「 リージョンとエンドポイント」を参照してください。

    2. ナビゲーションペインで [組織] を選択し、組織の名前を選択します。

    3. ナビゲーションペインで、[組織の設定][モニタリング] の順に選択します。

    4. [ログ設定] で、[編集] を選択します。

    5. メールイベントを有効化スライダーをオフの位置に移動します。

    6. [保存] を選択します。

  2. Amazon CloudWatch ロググループを削除します。

    1. CloudWatch コンソールの https://console.aws.amazon.com/cloudwatch/ を開いてください。

    2. [Logs] (ログ) を選択します。

    3. [Log Groups] (ロググループ) で、削除するロググループを選択します。

    4. [Actions] (アクション) で、[Delete log group] (ロググループを削除する) を選択します。

    5. [Yes, Delete] (はい、削除します) を選択します。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AmazonWorkMailEvents サービスリンクロールを削除します。詳細については、IAM ユーザーガイドサービスにリンクされたロールの削除を参照してください。

Amazon WorkMail のサービスリンクロールがサポートされるリージョン

Amazon WorkMail は、このサービスを利用できるすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、Amazon WorkMail リージョンとエンドポイントを参照してください。