AppFabric のサービスにリンクされたロールの使用

AWS AppFabric は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールです AppFabric。サービスにリンクされたロールは によって事前定義 AppFabric されており、 AWS のサービス ユーザーに代わってサービスが他の を呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AppFabric が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AppFabric を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AppFabric ることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、 AppFabric リソースへのアクセス許可を誤って削除することがなくなるため、リソースが保護されます。

サービスリンクロールをサポートする他のサービスについては、「IAM と連動するAWS のサービス」を参照し、[Service-linked role (サービスリンクロール)] の列内で [Yes (はい)] と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

AppFabric のサービスリンクロールのアクセス許可

AppFabric は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForAppFabric。 AppFabric は、Amazon S3 バケットや Amazon Data Firehose 配信ストリームなどの取り込み先リソースにデータを配置できます。また、 AppFabric は AWS/AppFabric名前空間に CloudWatch メトリクスデータを配置することもできます。

AWSServiceRoleForAppFabric サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

• appfabric.amazonaws.com

という名前のロールアクセス許可ポリシーAWSAppFabricServiceRolePolicyは AppFabric 、 が指定されたリソースに対して次のアクションを実行できるようにします。

• アクション:AWS/AppFabricネームスペース内でcloudwatch:PutMetricData。このアクションは AppFabric 、メトリクスデータを Amazon CloudWatch AWS/AppFabric名前空間に配置するアクセス許可を に付与します。で使用できる AppFabric メトリクスの詳細については、 CloudWatch「」を参照してくださいAmazon AWS AppFabric によるモニタリング CloudWatch。

• アクション: Amazon S3 バケットでの s3:PutObject。このアクションは AppFabric 、 が、指定した Amazon S3 バケットに取り込まれたデータを配置するためのアクセス許可を付与します。

• アクション: Amazon Data Firehose 配信ストリームfirehose:PutRecordBatch内。このアクションは AppFabric 、 が、指定した Amazon Data Firehose 配信ストリームに取り込まれたデータを配置するためのアクセス許可を付与します。

詳細については、「 の AWS マネージドポリシー AppFabric」を参照してください。

ユーザー、グループ、ロールなどがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、 IAM ユーザーガイド の「サービスリンクロールのアクセス許可」を参照してください。

のサービスにリンクされたロールの作成 AppFabric

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で AppFabric アプリケーションバンドルを作成すると、 によってサービスにリンクされたロール AppFabric が自動的に作成されます。

のサービスにリンクされたロールの編集 AppFabric

AppFabric では、AWSServiceRoleForAppFabricサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。

のサービスにリンクされたロールの削除 AppFabric

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを削除する前に、すべての AppFabric アプリケーションバンドルを削除する必要があります。

サービスリンクロールのクリーンアップ

IAM を使用してサービスリンクロールを削除するには、最初に、そのロールで使用されているリソースをすべて削除する必要があります。で作成したアプリケーションバンドル AppFabric は、 ロールによって使用されます。詳細については、「セキュリティリソース AWS AppFabric の削除」を参照してください。

注記

リソースを削除しようとしたときに AppFabric サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

サービスにリンクされたロールを手動で削除する

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForAppFabricサービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイドのサービスにリンクされたロールの削除を参照してください。

AppFabric サービスにリンクされたロールでサポートされているリージョン

AppFabric は、サービス AWS リージョン が利用可能なすべての でサービスにリンクされたロールの使用をサポートします。詳細については、「」のAppFabric 「 エンドポイントとクォータ」を参照してくださいAWS 全般のリファレンス。