翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ユーザーサブスクリプション service-linked-roles での の使用
ユーザーサブスクリプションは、 AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、ユーザーサブスクリプションに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、ユーザーサブスクリプションによって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、ユーザーサブスクリプションの設定が簡単になります。ユーザーサブスクリプションは、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、ユーザーサブスクリプションのみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、 リソースに必要なアクセス許可を誤って削除することがないため、ユーザーサブスクリプションが保護されます。
サービスリンクロールをサポートする他のサービスについては、「IAM と連動するAWS のサービス」を参照し、[Service-linked role (サービスリンクロール)] の列内で [Yes (はい)] と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。
ユーザーサブスクリプションのサービスにリンクされたロールのアクセス許可
ユーザーサブスクリプションは、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForUserSubscriptions。 IAM Identity Center リソースへのユーザーサブスクリプションへのアクセスを提供し、サブスクリプションを自動的に更新します。
AWSServiceRoleForUserSubscriptions サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
user-subscriptions.amazonaws.com
という名前のロール許可ポリシー AWSServiceRoleForUserSubscriptionPolicy は、ユーザーサブスクリプションが指定されたリソースに対して以下のアクションを実行することを許可します。
-
アクション:
*上でidentitystore:DescribeGroupアクション:
*上でidentitystore:DescribeUserアクション:
*上でidentitystore:IsMemberInGroupsアクション:
*上でidentitystore:ListGroupMembershipsアクション:
*上でorganizations:DescribeOrganizationアクション:
*上でsso:DescribeApplicationアクション:
*上でsso:DescribeInstanceアクション:
*上でsso:ListInstances
ユーザー、グループ、ロールなどがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、 IAM ユーザーガイド の「サービスリンクロールのアクセス許可」を参照してください。
ユーザーサブスクリプションのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。でユーザーサブスクリプションを作成すると AWS Management Console、ユーザーサブスクリプションによってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。設定を更新すると、ユーザーサブスクリプションによってサービスにリンクされたロールが再度作成されます。
IAM コンソールまたは AWS CLI を使用して、サービス名でq.amazonaws.comサービスにリンクされたロールを作成することもできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
ユーザーサブスクリプションのサービスにリンクされたロールの編集
ユーザーサブスクリプションでは、 AWSServiceRoleForUserSubscriptions サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
ユーザーサブスクリプションのサービスにリンクされたロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除しようとしたときにユーザーサブスクリプションサービスがロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
IAM を使用してサービスリンクロールを手動で削除するには
IAM コンソール、、または AWS API を使用して AWS CLI、 AWSServiceRoleForUserSubscriptions サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
ユーザーサブスクリプションのサービスにリンクされたロールでサポートされているリージョン
Amazon Q デベロッパーサブスクリプションは、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。
Amazon Q デベロッパーサブスクリプションは、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしているわけではありません。 AWSServiceRoleForUserSubscriptions ロールは、次のリージョンで使用できます。
| リージョン名 | リージョン識別子 | ユーザーサブスクリプションでのサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
