Amazon S3 ストレージレンズでのサービスにリンクされたロールの使用 - Amazon Simple Storage Service
Amazon S3 ストレージレンズへのサービスにリンクされたロールのアクセス許可S3 Storage Lens へのサービスにリンクされたロールの作成Amazon S3 ストレージレンズのサービスにリンクされたロールの編集Amazon S3 ストレージレンズのサービスにリンクされたロールの削除S3 Storage Lens のサービスにリンクされたロールがサポートされるリージョン

Amazon S3 ストレージレンズでのサービスにリンクされたロールの使用

Amazon S3 ストレージレンズを使用して AWS Organizations 内のすべてのアカウントでメトリクスを収集および集約するには、最初に組織の管理アカウントにより有効化された、信頼されたアクセスを S3 Storage Lens が持っていることを確認する必要があります。S3 Storage Lens は、サービスリンクされたロールを作成し、そのロールが組織に属する AWS アカウントのリストを取得できるようにします。このアカウントの一覧は、S3 Storage Lens ダッシュボードまたは設定が作成または更新された場合に、すべてのメンバーアカウントの S3 リソースのメトリクスを収集するため S3 Storage Lens によって使用されます。

Amazon S3 ストレージレンズは AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールはS3 Storage Lens に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、S3 Storage Lens によって事前定義されており、ユーザーの代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、S3 Storage Lens の設定が簡単になります。S3 Storage Lens は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、S3 Storage Lens のみがそのロールを引き受けることができます。定義される許可は、信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

関連リソースを削除した後でなければ、このサービスにリンクされたロールを削除することはできません。これにより、リソースにアクセスするためのアクセス許可を不注意で削除することが防止され、S3 Storage Lens リソースは保護されます。

サービスにリンクされたロールをサポートするその他のサービスについては、「IAM と連携する AWS サービス」を参照の上、サービスにリンクされたロール列がはいになっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon S3 ストレージレンズへのサービスにリンクされたロールのアクセス許可

S3 Storage Lens は、AWSServiceRoleForS3StorageLens という名前のサービスにリンクされたロールを使用します。これにより、S3 Storage Lens によって使用または管理される AWS のサービスとリソースにアクセスできます。これにより、S3 Storage Lens は、ユーザーに代わって AWS Organizations のリソースにアクセスできるようになります。

S3 Storage Lens のサービスにリンクされたロールは、組織のストレージ上で次のサービスを信頼します。

  • storage-lens.s3.amazonaws.com

ロールのアクセス許可ポリシーは、以下のアクションを実行することを S3 Storage Lens に許可します。

  • organizations:DescribeOrganization

    organizations:ListAccounts

    organizations:ListAWSServiceAccessForOrganization

    organizations:ListDelegatedAdministrators

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイドサービスにリンクされたロールのアクセス許可を参照してください。

S3 Storage Lens へのサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Organizations 管理アカウントまたは委任された管理者アカウントにサインインしているときに次のいずれかのタスクを完了すると、S3 Storage Lens がサービスにリンクされたロールを作成します。

  • Amazon S3 コンソールで、組織用の S3 Storage Lens ダッシュボード設定を作成する。

  • REST API、AWS CLI、SDK を使用して組織に S3 Storage Lens 設定を PUT する。

注記

S3 Storage Lens は組織ごとに最大 5 人の委任管理者をサポートします。

このサービスにリンクされたロールを削除した場合、前述のアクションによって必要に応じてロールが再作成されます。

S3 Storage Lens サービスにリンクされたロールのポリシーの例

例 S3 Storage Lens のサービスにリンクされたロールへのアクセス許可ポリシー
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "AwsOrgsAccess",
            "Effect": "Allow",
            "Action": [
                "organizations:DescribeOrganization",
                "organizations:ListAccounts",
                "organizations:ListAWSServiceAccessForOrganization",
                "organizations:ListDelegatedAdministrators"
            ],
            "Resource": [
                "*"
            ]
        }
    ]
}

Amazon S3 ストレージレンズのサービスにリンクされたロールの編集

Amazon S3 ストレージレンズでは、AWSServiceRoleForS3StorageLens のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドサービスにリンクされたロールの編集を参照してください。

Amazon S3 ストレージレンズのサービスにリンクされたロールの削除

サービスにリンクされたロールが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Amazon S3 ストレージレンズサービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForS3StorageLens を削除するには、AWS Organizations 管理アカウントまたは委任された管理者アカウントを使用して、すべてのリージョンに存在する組織レベルの S3 Storage Lens 設定をすべて削除する必要があります。

リソースは組織レベルの S3 Storage Lens 設定です。S3 Storage Lens を使用してリソースをクリーンアップし、IAM コンソール、CLI、REST API、または AWS SDK を使用してロールを削除します。

REST API、AWS CLI、SDK では、ListStorageLensConfigurations を使用して組織が S3 Storage Lens 設定を作成したすべてのリージョンで S3 Storage Lens 設定を見つけることができます。DeleteStorageLensConfiguration アクションを使用してこれらの設定を削除し、ロールを削除できるようにします。

注記

サービスにリンクされたロールを削除するには、すべてのリージョンに存在する組織レベルの S3 Storage Lens 設定をすべて削除する必要があります。

AWSServiceRoleForS3StorageLens が使用する Amazon S3 ストレージレンズリソースを削除するには

  1. 組織レベルの設定一覧を取得するには、S3 Storage Lens 設定があるすべてのリージョンで ListStorageLensConfigurations を使用する必要があります。この一覧は Amazon S3 コンソールから取得することもできます。

  2. これらの設定は、DeleteStorageLensConfiguration API 呼び出しを呼び出すか Amazon S3 コンソールを使用して、適切なリージョンのエンドポイントから削除する必要があります。

サービスにリンクされたロールを IAM で手動削除するには

設定を削除した後、IAM コンソールから、または IAM API DeleteServiceLinkedRole を呼び出すか、 AWS CLI もしくは AWS SDK を使用して、AWSServiceRoleForS3StorageLens を削除できます。詳細については、IAM ユーザーガイドサービスにリンクされたロールの削除を参照してください。

S3 Storage Lens のサービスにリンクされたロールがサポートされるリージョン

S3 Storage Lens は、そのサービスを利用できるすべての AWS リージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、Amazon S3 Regions and Endpoints を参照してください。