Network Synthetic Monitor のサービスにリンクされたロールの使用
Network Synthetic Monitor は、ユーザーに代わって AWS の他のサービスを呼び出すために必要なアクセス許可のために、次のサービスにリンクされたロールを使用します。
AWSServiceRoleForNetworkMonitor
Network Synthetic Monitor は、AWSServiceRoleForNetworkMonitor という名前のサービスにリンクされたロールを使用してモニタの更新と管理を行います。
AWSServiceRoleForNetworkMonitor サービスにリンクされたロールはその引き受け時に、以下のサービスを信頼します。
-
networkmonitor.amazonaws.com
CloudWatchNetworkMonitorServiceRolePolicy はこのサービスにリンクされたロールにアタッチされ、アカウント内の VPC や EC2 リソースにアクセスしたり、ユーザーが作成したモニタを管理したりするためのアクセス権をサービスに付与します。
アクセス許可グルーピング
ポリシーは、以下のアクセス許可セットにグループ化されます。
-
cloudwatch- ネットワークモニタリングメトリクスを CloudWatch リソースに公開することをサービスプリンシパルに許可します。 -
ec2- モニタとプローブを作成または更新するために、アカウント内に VPC とサブネットを記述することをサービスプリンシパルに許可します。また、エンドポイントにモニタリングトラフィックを送信するモニタまたはプローブを設定するために、セキュリティグループ、ネットワークインターフェイス、およびそれらに関連する権限を作成、変更、削除することもサービスプリンシパルに許可します。
このポリシーに対する許可を確認するには、「AWS マネージドポリシーリファレンス」の「CloudWatchNetworkMonitorServiceRolePolicy」を参照してください。
サービスにリンクされたロールの作成
AWSServiceRoleForNetworkMonitor
AWSServiceRoleForNetworkMonitor ロールを手動で作成する必要はありません。
-
AWSServiceRoleForNetworkMonitorロールは、最初のネットワークモニタを作成するときに、Network Synthetic Monitor によって作成されます。このロールは、作成した追加のモニターすべてに適用されます。
お客様に代わってサービスリンクロールを作成するには、必要なアクセス許可がお客様に付与されていなければなりません。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。
サービスにリンクされたロールを編集する
IAM を使用して AWSServiceRoleForNetworkMonitor の説明を編集することができます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。
サービスにリンクされたロールを削除する
Network Synthetic Monitor を使用する必要がなくなった場合は、AWSServiceRoleForNetworkMonitor ロールを削除することをお勧めします。
これらのサービスにリンクされたロールは、モニターを削除した場合にのみ削除できます。詳細については、「モニターの削除」を参照してください。
サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。
AWSServiceRoleForNetworkMonitor を削除すると、新規モニター作成時に、Network Synthetic Monitor によって再度このロールが作成されます。
Network Synthetic Monitor のサービスにリンクされたロールでサポートされるリージョン
Network Synthetic Monitor は、そのサービスを利用できるすべての AWS リージョン で、サービスにリンクされたロールをサポートします。詳細については、「AWS 全般のリファレンス」の「AWS エンドポイント」を参照してください。
