Amazon EC2 Auto Scaling のサービスにリンクされたロール - Amazon EC2 Auto Scaling (日本語)

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EC2 Auto Scaling のサービスにリンクされたロール

Amazon EC2 Auto Scaling は、ユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可を持つ、サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS サービスに直接リンクされた一意のタイプの IAM ロールです。

サービスにリンクされたロールは、AWS のサービスにアクセス許可を委任するためのセキュアな方法を提供します。これは、リンクされたサービスのみが、サービスにリンクされたロールを引き受けることができるためです。詳細については、「」を参照してください。サービスにリンクされたロールの使用()IAM ユーザーガイド。サービスにリンクされたロールにより、すべての API コールが AWS CloudTrail を介して表示可能になります。これにより、Amazon EC2 Auto Scaling がユーザーに代わって実行するすべてのアクションを追跡できるため、モニタリングおよび監査の要件に役立ちます。詳細については、「AWS CloudTrail を使用した Amazon EC2 Auto Scaling API コールのログ記録」を参照してください。

以下のセクションでは、Amazon EC2 Auto Scaling サービスにリンクされたロールを作成および管理する方法について説明します。まず、サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス権限を設定します。詳細については、「」を参照してください。サービスにリンクされたロールの使用()IAM ユーザーガイド

Overview

Amazon EC2 Auto Scaling サービスにリンクされたロールには 2 つのタイプがあります。

  • アカウントのデフォルトのサービスにリンクされたロール (AWSServiceRoleForAutoScaling)。このロールは、自動的に Auto Scaling グループに割り当てられます。ただし、別のサービスにリンクされたロールを指定する場合を除きます。

  • ロールの作成時に指定したカスタムサフィックス付きのサービスにリンクされたロール (例:AWSservicerOreforAutoScaling_mysuffix.

カスタムサフィックス付きのサービスにリンクされたロールのアクセス許可は、デフォルトのサービスにリンクされたロールのアクセス許可と同じです。いずれの場合も、ロールを編集することはできません。また、Auto Scaling グループが使用中の場合は削除することもできません。唯一の違いは、ロール名サフィックスです。

AWS Key Management Service ポリシーを編集するときに、いずれかのロールを指定できます。これにより、Amazon EC2 Auto Scaling によって起動されたインスタンスが、カスタマー管理の CMK で暗号化されます。ただし、特定のカスタマー管理の CMK へのきめ細かなアクセスを許可する場合は、カスタムサフィックス付きのサービスにリンクされたロールを使用する必要があります。カスタムサフィックス付きのサービスにリンクされたロールを使用すると、以下のことが可能です。

  • CMK をより詳細にコントロールする。

  • CloudTrail ログでどの Auto Scaling グループが API コールを行ったかを追跡する。

一部のユーザーにのみアクセスを許可するカスタマー管理の CMK を作成する場合は、以下のステップに従って、カスタムサフィックス付きのサービスにリンクされたロールを使用できます。

  1. カスタムサフィックス付きのサービスにリンクされたロールを作成します。詳細については、「サービスにリンクされたロールを作成する (手動)」を参照してください。

  2. サービスにリンクされたロールにカスタマー管理の CMK へのアクセスを許可します。サービスにリンクされたロールに CMK の使用を許可するキーポリシーの詳細については、「暗号化されたボリュームで使用するのに必要な CMK キーポリシー」を参照してください。

  3. IAM ユーザーまたはロールに、作成したサービスにリンクされたロールへのアクセスを許可します。IAM ポリシーの作成の詳細については、「」どのサービスにリンクされたロールを渡すことができるかを制御する (PassRole を使用)。ユーザーが、サービスにリンクされたロールを渡すためのアクセス許可なしでそのロールを指定しようとすると、エラーが表示されます。

サービスにリンクされたロールによって付与されるアクセス許可

Amazon EC2 Auto Scaling ではAWSサービスロールオートスケーリングサービスにリンクされたロールまたは、カスタムサフィックス付きのサービスにリンクされたサービス付きのサービスにリンクされたロールを使用して、指定されたリソースに対してユーザーに代わって以下のアクションを実行します。

  • ec2:AttachClassicLinkVpc

  • ec2:CancelSpotInstanceRequests

  • ec2:CreateFleet

  • ec2:CreateTags

  • ec2:DeleteTags

  • ec2:Describe*

  • ec2:DetachClassicLinkVpc

  • ec2:ModifyInstanceAttribute

  • ec2:RequestSpotInstances

  • ec2:RunInstances

  • ec2:TerminateInstances

  • elasticloadbalancing:Register*

  • elasticloadbalancing:Deregister*

  • elasticloadbalancing:Describe*

  • cloudwatch:DeleteAlarms

  • cloudwatch:DescribeAlarms

  • cloudwatch:PutMetricAlarm

  • sns:Publish

このロールを引き受けるために autoscaling.amazonaws.com サービスを信頼します。

サービスにリンクされたロールを作成する (自動)

Amazon EC2 Auto Scaling ではAWSサービスロールオートスケーリングAuto Scaling グループを初めて作成する際に、というサービスにリンクされたロールを使用できます。ただし、カスタムサフィックスのサービスにリンクされたロールを手動で作成し、グループの作成時にそのロールを指定した場合を除きます。

重要

サービスにリンクされたロールを作成するには、IAM アクセス許可が必要です。それ以外の場合、自動作成は失敗します。詳細については、「」を参照してください。サービスにリンクされたロールのアクセス許可()IAM ユーザーガイドおよびサービスにリンクされたロールを作成するには、必要なアクセス許可このガイドの「」を参照してください。

Amazon EC2 Auto Scaling は、サービスにリンクされたロールのサポートを 2018 年 3 月に開始しました。それ以前に Auto Scaling グループを作成していた場合、Amazon EC2 Auto Scaling はAWSサービスロールオートスケーリングロールを AWS アカウントで使用します。詳細については、「」を参照してください。AWS アカウントに新しいロールが表示される()IAM ユーザーガイド

サービスにリンクされたロールを作成する (手動)

サービスにリンクされたロールを作成するには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles]、[Create role] の順に選択します。

  3. [Select type of trusted entity (信頼されたエンティティのタイプの選択)] で、[AWS サービス] を選択します。

  4. [このロールを使用するサービスを選択] で、[EC2 Auto Scaling]、[EC2 Auto Scaling] ユースケースの順に選択します。

  5. 選択次へ: アクセス許可次へ: タグ、次に次へ: 確認。注意: 作成中にサービスにリンクされたロールにタグ付けすることはできません。

  6. リポジトリの []確認ページ、離れるロール名という名前のサービスにリンクされたロールを作成するにはAWSサービスロールオートスケーリングまたは、サフィックスを入力して、サービスにリンクされたロールの名前AWSサービスロールオートスケーリング_suffix.

  7. (オプション) [ロールの説明] で、サービスにリンクされたロールの説明を編集します。

  8. [Create role] を選択します。

サービスにリンクされたロールを作成するには (AWS CLI)

以下の方法を使用します。create-service-linked-roleAmazon EC2 Auto Scaling のサービスにリンクされたロールをという名前で作成します。AWSservicerOreforAutoScaling_suffix.

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

このコマンドの出力には、サービスにリンクされたロールの ARN が含まれており、これを使用してサービスにリンクされたロールに CMK キーへのアクセスを許可できます。

{ "Role": { "RoleId": "ABCDEF0123456789ABCDEF", "CreateDate": "2018-08-30T21:59:18Z", "RoleName": "AWSServiceRoleForAutoScaling_suffix", "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix", "Path": "/aws-service-role/autoscaling.amazonaws.com/", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "autoscaling.amazonaws.com" ] }, "Effect": "Allow" } ] } } }

詳細については、「」を参照してください。サービスにリンクされたロールの作成()IAM ユーザーガイド

サービスにリンクされたロールを編集する

Amazon EC2 Auto Scaling 用に作成されたサービスにリンクされたロールは編集できません。サービスにリンクされたロールを作成した後、ロールの名前またはアクセス許可を変更することはできません。ただし、ロールの説明は編集できます。詳細については、「」を参照してください。サービスにリンクされたロールの編集()IAM ユーザーガイド

サービスにリンクされたロールを削除する

Auto Scaling グループを使用していない場合、そのサービスにリンクされたロールを削除することをお勧めします。ロールを削除すると、使用されていないエンティティやアクティブにモニタリングおよび維持されていないエンティティがなくなります。

サービスにリンクされたロールを削除するには、まずその関連 AWS リソースを削除します。これにより、リソースに対する Amazon EC2 Auto Scaling アクセス許可を誤って取り消すことがなくなります。サービスにリンクされたロールが複数の Auto Scaling グループで使用されている場合、サービスにリンクされたロールを削除する前に、そのロールを使用するすべての Auto Scaling グループを削除する必要があります。詳細については、「Auto Scaling インフラストラクチャの削除」を参照してください。

IAM を使用して、サービスにリンクされたロールを削除できます。詳細については、「」を参照してください。サービスにリンクされたロールの削除()IAM ユーザーガイド

削除すると、AWSサービスロールオートスケーリングサービスにリンクされたロールの場合、Amazon EC2 Auto Scaling は Auto Scaling グループを作成し、別のサービスにリンクされたロールを指定しないと、ロールを再度作成します。

Amazon EC2 Auto Scaling サービスにリンクされたロールでサポートされるリージョン

Amazon EC2 Auto Scaling は、サービスを利用できるすべての AWS リージョンで、サービスにリンクされたロールの使用をサポートします。