のサービスにリンクされたロールAmazon EC2 Auto Scaling - Amazon EC2 Auto Scaling (日本語)

「翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。」

のサービスにリンクされたロールAmazon EC2 Auto Scaling

Amazon EC2 Auto Scaling は、ユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可を持つサービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS サービスに直接リンクされた一意のタイプの IAM ロールです。

サービスにリンクされたロールは、AWS のサービスにアクセス許可を委任するためのセキュアな方法を提供します。これは、リンクされたサービスのみが、サービスにリンクされたロールを引き受けることができるためです。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの使用.」を参照してください。また、サービスにリンクされたロールにより、すべての API コールが を介して表示可能になります。AWS CloudTrail. これがモニタリングと監査の要件を満たすのに役立つのは、Amazon EC2 Auto Scaling によってお客様に代わって実行されるすべてのアクションを追跡できるためです。詳細については、「 」を参照してください。AWS CloudTrail による Amazon EC2 Auto Scaling API コールのログ記録.

以下のセクションでは、Amazon EC2 Auto Scaling サービスにリンクされたロールを作成および管理する方法について説明します。まず、サービスにリンクされたロールを作成、編集、または削除するためのアクセス許可を設定して IAM エンティティ (ユーザー、グループ、ロールなど) に付与します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの使用.」を参照してください。

Overview

Amazon EC2 Auto Scaling サービスにリンクされたロールには 2 つのタイプがあります。

  • アカウントのデフォルトのサービスにリンクされたロール (AWSServiceRoleForAutoScaling)。 このロールは、別のサービスにリンクされたロールを指定しない限り、 Auto Scaling グループに自動的に割り当てられます。

  • ロールの作成時に指定するカスタムサフィックス付きのサービスにリンクされたロール (例: AWSServiceRoleForAutoScaling_)mysuffix.

カスタムサフィックス付きのサービスにリンクされたロールのアクセス許可は、デフォルトのサービスにリンクされたロールのアクセス許可と同じです。いずれの場合も、ロールを編集することはできません。また、Auto Scaling グループが使用中の場合は削除することもできません。唯一の違いは、ロール名サフィックスです。

AWS Key Management Service によって起動されたインスタンスをカスタマー管理の CMK で暗号化できるように、Amazon EC2 Auto Scaling キーポリシーを編集するときに、いずれかのロールを指定できます。ただし、特定のカスタマー管理の CMK へのきめ細かなアクセスを許可する場合は、カスタムサフィックス付きのサービスにリンクされたロールを使用する必要があります。カスタムサフィックス付きのサービスにリンクされたロールを使用すると、以下のことが可能です。

  • CMK をより詳細にコントロールする。

  • Auto Scaling ログでどの CloudTrail グループが API コールを行ったかを追跡する。

すべてのユーザーがアクセスできるCMKsわけではないカスタマー管理の を作成する場合は、以下のステップに従って、カスタムサフィックス付きのサービスにリンクされたロールの使用を許可します。

  1. カスタムサフィックス付きのサービスにリンクされたロールを作成します。詳細については、「 」を参照してください。サービスにリンクされたロールを作成する (手動).

  2. サービスにリンクされたロールにカスタマー管理の CMK へのアクセスを許可します。サービスにリンクされたロールに CMK の使用を許可するキーポリシーの詳細については、「」を参照してください。暗号化されたボリュームで使用するために必要な CMK キーポリシー.

  3. IAM ユーザーまたはロールに、作成したサービスにリンクされたロールへのアクセスを許可します。IAM ポリシーの作成の詳細については、「渡すことができるサービスにリンクされたロールを制御する ( を使用PassRole).」を参照してください。ユーザーが、サービスにリンクされたロールを渡すためのアクセス許可なしでそのロールを指定しようとすると、エラーが表示されます。

サービスにリンクされたロールによって付与されるアクセス許可

Amazon EC2 Auto Scaling は、AWSServiceRoleForAutoScalingサービスにリンクされたロールまたはカスタムサフィックス付きのサービスにリンクされたロールを使用して、指定されたリソースに対してお客様に代わって以下のアクションを実行します。

  • ec2:AttachClassicLinkVpc

  • ec2:CancelSpotInstanceRequests

  • ec2:CreateFleet

  • ec2:CreateTags

  • ec2:DeleteTags

  • ec2:Describe*

  • ec2:DetachClassicLinkVpc

  • ec2:ModifyInstanceAttribute

  • ec2:RequestSpotInstances

  • ec2:RunInstances

  • ec2:TerminateInstances

  • elasticloadbalancing:Register*

  • elasticloadbalancing:Deregister*

  • elasticloadbalancing:Describe*

  • cloudwatch:DeleteAlarms

  • cloudwatch:DescribeAlarms

  • cloudwatch:PutMetricAlarm

  • sns:Publish

このロールを引き受けるために autoscaling.amazonaws.com サービスを信頼します。

サービスにリンクされたロールを作成する (自動)

Amazon EC2 Auto Scaling は、カスタムサフィックスAWSServiceRoleForAutoScaling付きのサービスにリンクされたロールを手動で作成しAuto Scaling、グループの作成時に指定しない限り、 グループを初めて作成するときに、サービスにリンクされたロールを作成します。

重要

サービスにリンクされたロールを作成するための IAM アクセス許可が必要です。それ以外の場合、自動作成は失敗します。詳細については、の「サービスにリンクされたロールのアクセス許可IAM ユーザーガイドおよびこのガイドサービスにリンクされたロールを作成するために必要なアクセス許可の「」を参照してください。

Amazon EC2 Auto Scaling は、サービスにリンクされたロールのサポートを 2018 年 3 月に開始しました。それ以前に Auto Scaling グループを作成した場合は、 によって AWS アカウントに Amazon EC2 Auto ScalingAWSServiceRoleForAutoScaling ロールが作成されています。詳細については、IAM ユーザーガイド の「AWS アカウントに新しいロールが表示される.」を参照してください。

サービスにリンクされたロールを作成する (手動)

サービスにリンクされたロールを作成するには (コンソール)

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [Roles]、[Create role.] の順に選択します。

  3. Select type of trusted entity (信頼されたエンティティのタイプの選択)] で、[AWS サービス.] を選択します。

  4. [このロールを使用するサービスを選択] でEC2 Auto Scaling] および [EC2 Auto Scaling] ユースケースを選択します。

  5. Next: Permissions (次へ: アクセス許可)]、[Next: Tags (次へ: タグ)]、[Next: Review (次へ: レビュー).] の順に選択します。注意: サービスにリンクされたロールの作成時にタグ付けを行うことはできません。

  6. [Review] ページで、[Role name] AWSServiceRoleForAutoScaling を空白のままにして という名前のサービスにリンクされたロールを作成するか、サフィックスを入力して AWSServiceRoleForAutoScaling_ という名前のサービスにリンクされたロールを作成します。suffix.

  7. (オプション) [ロールの説明] で、サービスにリンクされたロールの説明を編集します。

  8. Create role (ロールの作成).] を選択します。

サービスにリンクされたロールを作成するには (AWS CLI)

次の create-service-linked-role CLI コマンドを使用して、 のサービスにリンクされたロールを Amazon EC2 Auto Scaling_ という名前AWSServiceRoleForAutoScalingで作成します。suffix.

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

このコマンドの出力には、サービスにリンクされたロールの ARN が含まれており、これを使用してサービスにリンクされたロールに CMK キーへのアクセスを許可できます。

{ "Role": { "RoleId": "ABCDEF0123456789ABCDEF", "CreateDate": "2018-08-30T21:59:18Z", "RoleName": "AWSServiceRoleForAutoScaling_suffix", "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix", "Path": "/aws-service-role/autoscaling.amazonaws.com/", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "autoscaling.amazonaws.com" ] }, "Effect": "Allow" } ] } } }

詳細については、の「サービスにリンクされたロールhttps://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-roleの作成」を参照してくださいIAM ユーザーガイド

サービスにリンクされたロールを編集する

用に作成されたサービスにリンクされたロールは編集できません。Amazon EC2 Auto Scaling. サービスにリンクされたロールを作成した後、ロールの名前またはアクセス許可を変更することはできません。ただし、ロールの説明は編集できます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集.」を参照してください。

サービスにリンクされたロールを削除する

Auto Scaling グループを使用していない場合、そのサービスにリンクされたロールを削除することをお勧めします。ロールを削除すると、使用されていないエンティティやアクティブにモニタリングおよび維持されていないエンティティがなくなります。

サービスにリンクされたロールを削除するには、まずその関連 AWS リソースを削除します。これにより、リソースに対する Amazon EC2 Auto Scaling アクセス許可を誤って取り消すことがなくなります。サービスにリンクされたロールが複数の Auto Scaling グループで使用されている場合、サービスにリンクされたロールを削除する前に、そのロールを使用するすべての Auto Scaling グループを削除する必要があります。詳細については、「 」を参照してください。Auto Scaling インフラストラクチャの削除.

IAM を使用して、サービスにリンクされたロールを削除できます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除.」を参照してください。

AWSServiceRoleForAutoScaling サービスにリンクされたロールを削除した場合、 Amazon EC2 Auto Scaling グループを作成し、別のサービスにリンクされたロールを指定しないと、 Auto Scaling によって再び作成されます。

Amazon EC2 Auto Scaling のサービスにリンクされたロールをサポートするリージョン

Amazon EC2 Auto Scaling は、サービスを利用できるすべての AWS リージョンで、サービスにリンクされたロールの使用をサポートします。