メニュー
AWS Identity and Access Management
ユーザーガイド

AWS サービスへのアクセスの提供

多くの AWS のサービスでは、ロールを使用して、そのサービスがアクセスできものを制御する必要があります。お客様に代わってアクションを実行するとサービスが想定するロールは、サービスロールと呼ばれます。サービスロールに特殊な目的がある場合は、EC2 インスタンスのサービスロール、またはサービスにリンクされたサービスロールとして分類できます。特定のサービスがロールを使用するかどうかと、使用するサービスのロールを割り当てる方法については、各サービスの AWS ドキュメントを参照してください。

AWS が提供するサービスへのアクセスを委任するロールの作成については、「AWS サービスにアクセス許可を委任するロールの作成」を参照してください。

サービスロール

ほとんどの AWS のサービス環境を設定するときに、サービスが引き受けるロールを定義する必要があります。このサービスロールには、サービスが必要とする AWS のリソースにサービスがアクセスするために必要なすべてのアクセス権限を含める必要があります。サービスロールはサービスによって異なりますが、多くのサービスロールでは、そのサービスの文書化された要件を満たしている限り、アクセス権限を選択することができます。IAM 内部からロールを作成、修正、削除できます。

EC2 インスタンスのサービスロール

Amazon EC2 サービスを使用して、アプリケーションを実行するインスタンスを起動するとします。そのインスタンスには、おそらく Amazon S3 バケットや DynamoDB テーブルなどの AWS リソースにアクセスするアクセス権限が必要です。これらのアクセス権限を付与するには、起動時に Amazon EC2 インスタンスに割り当てられるロールを作成する必要があります。AWS はロールにアタッチされた一時的なセキュリティ認証情報を自動的に付与し、アプリケーションに代わって Amazon EC2 インスタンスがその認証情報を使用できるようにします。詳細については、「Amazon EC2 インスタンスで実行されるアプリケーションに IAM ロールを使用してアクセス権限を付与する」を参照してください。

サービスにリンクされたサービスロール

一部の AWS のサービスでは、サービスに直接リンクされた一意のタイプのサービスロールを使用する必要があります。このロールはサービスによって事前に定義され、サービスで必要なすべてのアクセス権限が含まれています。これにより、必要なアクセス権限を手動で追加する必要がなくなるため、サービスの設定が簡単になります。このロールは IAM 内から作成できます。ただし、ロールはサービスにリンクされているため、IAM 内でロールをカスタマイズすることはできません。リンクされたサービスを通じてのみ、これらのロールを管理および削除できます。

注記

サービスにリンクされたサービスロールのサポートを開始するときに、既にサービスを使用している可能性があります。その場合、アカウントに追加される新しいロールについて伝える E メールが届くことがあります。このロールには、サービスがお客様に代わってアクションを実行するために必要なすべてのアクセス権限が含まれています。このロールをサポートするために、お客様が実行する必要があるアクションはありません。ただし、アカウントからロールを削除しないでください。ロールを削除すると、サービスが AWS リソースにアクセスするために必要なアクセス権限が削除される可能性があります。