キャパシティ予約フリートでのサービスにリンクされたロールの使用
オンデマンドキャパシティー予約フリートは AWS Identity and Access Management (IAM) サービスにリンクされたロール にリンクされたロールを使用します。サービスにリンクされたロールは、キャパシティー予約フリートに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、キャパシティー予約フリートによって事前に定義され、ユーザーに代わってサービスが他の AWS のサービスを呼び出すために必要なアクセス許可がすべて含まれています。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、キャパシティー予約フリートの設定が簡単になります。キャパシティー予約フリートは、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、キャパシティー予約フリートのみが、そのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースにアクセスするアクセス許可を不注意で削除する可能性がなくなるので、キャパシティー予約フリートリソースが保護されます。
キャパシティ予約フリートに対するサービスにリンクされたロールの許可
キャパシティー予約フリートでは、AWSServiceRoleForEC2CapacityReservationFleetという名前のサービスにリンクされたロールを使用します。これにより、ユーザーに代わってキャパシティー予約を作成、表示、変更でき、キャパシティー予約フリートによって以前に作成されたキャパシティー予約をキャンセルすることができます。
AWSServiceRoleForEC2CapacityReservationFleet というサービスにリンクされたロールは、以下のエンティティを信頼して capacity-reservation-fleet.amazonaws.com
というロールを引き受けます。
このロールでは、AWSEC2CapacityReservationFleetRolePolicy というポリシーを使用します。このポリシーには次のアクセス許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeCapacityReservations", "ec2:DescribeInstances" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateCapacityReservation", "ec2:CancelCapacityReservation", "ec2:ModifyCapacityReservation" ], "Resource": [ "arn:aws:ec2:*:*:capacity-reservation/*" ], "Condition": { "StringLike": { "ec2:CapacityReservationFleet": "arn:aws:ec2:*:*:capacity-reservation-fleet/crf-*" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:capacity-reservation/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateCapacityReservation" } } } ] }
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。
キャパシティ予約フリートでのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS CLI コマンドの create-capacity-reservation-fleet
、あるいは CreateCapacityReservationFleet
API を使用してキャパシティー予約フリートを作成する場合、サービスにリンクされたロールが自動的に作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。キャパシティー予約フリートを作成するたびに、キャパシティーの予約フリートによってサービスにリンクされたロールが自動的に作成されます。
キャパシティ予約フリートでのサービスにリンクされたロールの編集
キャパシティー予約フリートでは、サービスにリンクされたロール AWSServiceRoleForEC2CapacityReservationFleet を編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
キャパシティ予約フリートでのサービスにリンクされたロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースを削除する必要があります。
注記
このリソースを削除する際に、キャパシティー予約フリートのサービスでロールが使用されていると、削除処理が失敗する場合があります。失敗した場合は、数分待ってから操作を再試行してください。
サービスにリンクされたロールである AWSServiceRoleForEC2CapacityReservationFleet を削除するには
-
アカウント内のキャパシティー予約フリートを削除するには、AWS CLI コマンドの
delete-capacity-reservation-fleet
またはDeleteCapacityReservationFleet
API を使用します。 -
IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールである AWSServiceRoleForEC2CapacityReservationFleet を削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
キャパシティ予約フリートでのサービスにリンクされたロールでサポートされるリージョン
キャパシティー予約フリートでは、このサービスが利用可能なすべてのリージョンにおいて、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。