AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用 - AWS Identity and Access Management

AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用

AWS Identity and Access Management Access Analyzer は IAM サービスにリンクされたロールを使用します。サービスリンクロールは、IAM Access Analyzer に直接リンクされた特殊なタイプの IAM ロールです。サービスリンクロールは、IAM Access Analyzer によって事前定義されており、ユーザーの代わりに機能が他の AWS サービスを呼び出す必要のあるアクセス許可がすべて含まれています。

サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、IAM Access Analyzer の設定が簡単になります。IAM Access Analyzer は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、IAM Access Analyzer のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他の IAM エンティティに添付することはできません。

サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照して、[Service-Linked Role] (サービスリンクロール) 列が [Yes] (はい) になっているサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの許可

AWS Identity and Access Management Access Analyzer は、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールを使用します。これにより、Access Analyzer が外部アクセスのリソースメタデータを分析したり、アクティビティを分析して未使用のアクセスを特定したりできます。 

サービスにリンクされたロール AWSServiceRoleForAccessAnalyzer は、以下のサービスを信頼してロールを引き受けます。

  • access-analyzer.amazonaws.com

AccessAnalyzerServiceRolePolicy という名前のロールアクセス許可ポリシーを使用すると、IAM Access Analyzer は特定のリソースに対するアクションを完了できます。

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

IAM Access Analyzer のサービスリンクロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Consoleまたは AWS API で Access Analyzer を有効にすると、IAM Access Analyzer によって、サービスリンクロールが作成されます。IAM Access Analyzer を有効にしたすべてのリージョンで、同じサービスにリンクされたロールが使用されます。外部アクセスと未使用のアクセスの両方の結果で、同じサービスリンクロールが使用されます。

注記

IAM Access Analyzer はリージョンに基づきます。IAM Access Analyzer は、各リージョンで個別に有効にする必要があります。

このサービスにリンクされたロールを削除すると、次回のアナライザーの作成時に、このロールが IAM Access Analyzer によって再作成されます。

Access Analyzer ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用します。AWS CLI または AWS API で、access-analyzer.amazonaws.com サービス名を使用してサービスリンクロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除する場合、この同じプロセスを使用して、もう一度ロールを作成できます。

IAM Access Analyzer のサービスリンクロールの編集

IAM Access Analyzer では、AWSServiceRoleForAccessAnalyzer サービスリンクロールを編集できません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

IAM Access Analyzer のサービスリンクロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、IAM Access Analyzer でロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForAccessAnalyzer によって使用されている IAM Access Analyzer リソースを削除する方法
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access reports (アクセスレポート)] セクションの [Access analyzer (アクセスアナライザー)] で、[Analyzer (アナライザー)] を選択します。

  3. [Analyzers (アナライザー)] テーブルのアナライザーのリストの上にある左上のチェックボックスを選択して、すべてのアナライザーを選択します。

  4. [Delete] (削除) をクリックします。

  5. アナライザーを削除することを確定するには、「delete」と入力し、[Delete (削除)] を選択します。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロール AWSServiceRoleForAccessAnalyzer を削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

IAM Access Analyzer サービスリンクロールをサポートするリージョン

IAM Access Analyzer では、このサービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。