Amazon CloudWatch Internet Monitor のサービスリンクロール
Amazon CloudWatch Internet Monitor は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスにリンクされたロールは、Internet Monitor に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは Internet Monitor によって事前に定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なアクセス許可がすべて含まれています。
Internet Monitor は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Internet Monitor のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
ロールを削除するには、まずそのロールの関連リソースを削除します。この制限により、リソースへのアクセス許可を誤って削除することがなくなるため、Internet Monitor リソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動する AWS サービス」を参照し、[Service-linked roles] (サービスにリンクされたロール) の列内で [Yes] (はい) と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、はいリンクを選択します。
Internet Monitor のサービスにリンクされたロールのアクセス許可
Internet Monitor は、AWSServiceRoleForInternetMonitor という名前のサービスリンクロールを使用します。このロールにより、Internet Monitor は Amazon Virtual Private Cloud リソース、Amazon CloudFront ディストリビューション、Amazon WorkSpaces ディレクトリ、Network Load Balancers といったアカウント内のリソースにアクセスできます。そして、モニタを作成するときにこれらのリソースを選択できます。
このサービスリンクロールは、マネージドポリシーである CloudWatchInternetMonitorServiceRolePolicy
を使用します。
AWSServiceRoleForInternetMonitor サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
internetmonitor.amazonaws.com
このポリシーに対する許可を確認するには、「AWS マネージドポリシーリファレンス」の「CloudWatchInternetMonitorServiceRolePolicy」を参照してください。
Internet Monitor のサービスにリンクされたロールの作成
Internet Monitor のサービスにリンクされたロールを手動で作成する必要はありません。初めてモニターを作成すると、Internet Monitor によって AWSServiceRoleForInternetMonitor が自動的に作成されます。
詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。
Internet Monitor のサービスにリンクされたロールの編集
Internet Monitor がサービスにリンクされたロールをアカウントに作成すると、多くのエンティティによってロールが参照される可能性があるため、ロールの名前を変更することはできません。IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
Internet Monitor のサービスにリンクされたロールの削除
サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。
Internet Monitor のモニターからリソースを削除した後にモニターを削除すると、サービスにリンクされたロール AWSServiceRoleForInternetMonitor を削除できます。
注記
リソースを削除する際に、Internet Monitor サービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってから再試行してください。
サービスにリンクされたロールを IAM で手動削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleforInternetMonitor サービスリンクロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
Internet Monitor のサービスリンクロールを更新する
Internet Monitor のサービスリンクロールの AWS マネージドポリシーである AWSServiceRoleForInternetMonitor の更新については、「AWS マネージドポリシーに関する CloudWatch 更新」を参照してください。CloudWatch のマネージドポリシーの変更に関する自動通知を入手するには、CloudWatch ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。