Amazon EC2 Auto Scaling のサービスにリンクされたロール - Amazon EC2 Auto Scaling

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EC2 Auto Scaling のサービスにリンクされたロール

Amazon EC2 Auto Scaling は、ユーザーに代わって他の AWS のサービス を呼び出すために必要な、アクセス許可用の「サービスにリンクされたロール」を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールです AWS のサービス。

サービスにリンクされたロールは、他の AWS のサービス にアクセス許可を委任するためのセキュアな方法を提供します。これは、リンクされたサービスのみが、サービスにリンクされたロールを引き受けることができるためです。詳細については、IAM ユーザーガイドの「サービスリンクロールの使用」を参照してください。サービスにリンクされたロールを使用すると、すべての API コールを から表示することもできます AWS CloudTrail。これがモニタリングと監査の要件を満たすのに役立つのは、Amazon EC2 Auto Scaling によってお客様に代わって実行されるすべてのアクションを追跡できるためです。詳細については、「Amazon EC2 Auto Scaling API 呼び出しをログに記録する AWS CloudTrail」を参照してください。

以下のセクションでは、Amazon EC2 Auto Scaling サービスにリンクされたロールを作成および管理する方法について説明します。まず、IAM アイデンティティ (ユーザーまたはロールなど) がサービスにリンクされたロールを作成、編集、削除を行うための許可を設定します。詳細については、IAM ユーザーガイドの「サービスリンクロールの使用」を参照してください。

概要

Amazon EC2 Auto Scaling サービスにリンクされたロールには 2 つのタイプがあります。

  • という名前のアカウントのデフォルトのサービスにリンクされたロールAWSServiceRoleForAutoScaling。このロールは、自動的に Auto Scaling グループに割り当てられます。ただし、別のサービスにリンクされたロールを指定している場合を除きます。

  • ロールの作成時に指定するカスタムサフィックスを持つサービスにリンクされたロール。例えば、AWSServiceRoleForAutoScaling_mysuffix です。

カスタムサフィックス付きのサービスにリンクされたロールのアクセス許可は、デフォルトのサービスにリンクされたロールのアクセス許可と同じです。いずれの場合も、ロールを編集することはできません。また、Auto Scaling グループが使用中の場合は削除することもできません。唯一の違いは、ロール名サフィックスです。

AWS Key Management Service キーポリシーを編集するときにどちらのロールも指定して、Amazon EC2 Auto Scaling によって起動されるインスタンスをカスタマーマネージドキーで暗号化できるようにします。ただし、特定のカスタマー管理キーへのきめ細かなアクセスを許可する場合は、サービスにリンクされたロールカスタムサフィックスを使用する必要があります。カスタムサフィックス付きのサービスにリンクされたロールを使用すると、以下のことが可能です。

  • カスタマー管理キーをより詳細にコントロールする

  • ログでどの Auto Scaling グループが API コールを行ったかを追跡する CloudTrail機能

一部のユーザーにのみアクセスを許可するカスタマー管理キー を作成する場合は、以下のステップに従って、カスタムサフィックス付きのサービスにリンクされたロールを使用できます。

  1. カスタムサフィックス付きのサービスにリンクされたロールを作成します。詳細については、「サービスにリンクされたロールを作成する (マニュアル)」を参照してください。

  2. サービスにリンクされたロールにカスタマー管理キー へのアクセスを許可します。サービスにリンクされたロールにキーの使用を許可するキーポリシーの詳細については、「暗号化されたボリュームで使用するために必要な AWS KMS キーポリシー」を参照してください。

  3. ユーザーに、作成したサービスにリンクされたロールへのアクセスを許可します。IAM ポリシーの作成の詳細については、「どのサービスにリンクされたロールを渡すことができるかを制御する ( を使用 PassRole)」を参照してください。ユーザーが、サービスにリンクされたロールを渡すためのアクセス許可なしでそのロールを指定しようとすると、エラーが表示されます。

サービスにリンクされたロールによって付与されるアクセス許可

Amazon EC2 Auto Scaling は、 という名前のサービスにリンクされたロールAWSServiceRoleForAutoScalingまたはカスタムサフィックスのサービスにリンクされたロールを使用します。

サービスにリンクされたロールはその引き受け時に、以下のサービスを信頼します。

  • autoscaling.amazonaws.com

ロールのアクセス許可ポリシー によりAutoScalingServiceRolePolicy、Amazon EC2 Auto Scaling は次のアクションを実行できます。

  • ec2 – EC2 インスタンスを作成、説明、変更、開始/停止、および終了します。

  • iamIAM ロールを EC2 インスタンスに渡すと、インスタンスで実行されているアプリケーションがロールの一時的な認証情報にアクセスできます。

  • iamAWSServiceRoleForEC2Spotサービスにリンクされたロールを作成して、Amazon EC2 Auto Scaling がユーザーに代わってスポットインスタンスを起動できるようにします。

  • elasticloadbalancing – Elastic Load Balancing でインスタンスを登録および登録解除し、登録されたターゲットの状態を確認します。

  • cloudwatch – スケーリングポリシーのアラームを作成、説明、変更、削除 CloudWatchし、予測スケーリングに使用されるメトリクスを取得します。

  • sns – インスタンスの起動または終了時に Amazon SNS に通知を発行します。

  • events – ユーザーに代わってルールを作成、説明、更新、削除 EventBridgeします。

  • ssm – Systems Manager パラメータを起動テンプレートの AMI ID のエイリアスとして使用する場合は、Parameter Store からパラメータを読み取ります。

  • vpc-lattice – VPC Lattice でインスタンスを登録および登録解除し、登録されたターゲットの状態を確認します。

Amazon EC2 Auto Scaling サービスリンクロールがサポートされるリージョン

Amazon EC2 Auto Scaling は、サービス AWS リージョン が利用可能なすべての でサービスにリンクされたロールの使用をサポートします。

サービスにリンクされたロールを作成、編集、削除する

サービスにリンクされたロールを作成する (自動)

Amazon EC2 Auto Scaling は、Auto Scaling グループを初めて作成するときにAWSServiceRoleForAutoScaling、サービスにリンクされたロールを作成します。ただし、カスタムサフィックスサービスにリンクされたロールを手動で作成して、グループの作成時に指定する場合は除きます。

重要

サービスにリンクされたロールを作成するための IAM アクセス許可が必要です。それ以外の場合、自動作成は失敗します。詳細については、IAM ユーザーガイドおよびサービスにリンクされたロールの作成このガイドの「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon EC2 Auto Scaling は、サービスにリンクされたロールのサポートを 2018 年 3 月に開始しました。それ以前に Auto Scaling グループを作成した場合、Amazon EC2 Auto Scaling はアカウントにAWSServiceRoleForAutoScalingロールを作成しました。詳細については、IAM ユーザーガイドの「私の AWS アカウントに新しいロールが表示される」を参照してください。

サービスにリンクされたロールを作成する (マニュアル)

サービスにリンクされたロールを作成するには (コンソール)
  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. ナビゲーションペインで [ロール][ロールの作成] の順に選択します。

  3. [Select trusted entity] (信頼されたエンティティの選択) で、[AWS のサービス] を選択します。

  4. [このロールを使用するサービスを選択] で、[EC2 Auto Scaling]、[EC2 Auto Scaling] ユースケースの順に選択します。

  5. [Next: Permissions (次へ: アクセス許可)]、[Next: Tags (次へ: タグ)]、[Next: Review (次へ: レビュー)] の順に選択します。注意: サービスにリンクされたロールの作成時にタグ付けを行うことはできません。

  6. 確認ページで、ロール名を空白のままにして、 という名前のサービスにリンクされたロールを作成するかAWSServiceRoleForAutoScaling、サフィックスを入力して AWSServiceRoleForAutoScaling_suffix という名前のサービスにリンクされたロールを作成します。

  7. (オプション) [ロールの説明] で、サービスにリンクされたロールの説明を編集します。

  8. [ロールの作成] を選択します。

サービスリンクロールの作成 (AWS CLI)

次の create-service-linked-roleCLI コマンドを使用して、AWSServiceRoleForAutoScaling_suffix という名前の Amazon EC2 Auto Scaling のサービスにリンクされたロールを作成します。

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

このコマンドの出力には、サービスにリンクされたロールの ARN が含まれており、これを使用してサービスにリンクされたロールにカスタマー管理キーへのアクセスを許可できます。

{ "Role": { "RoleId": "ABCDEF0123456789ABCDEF", "CreateDate": "2018-08-30T21:59:18Z", "RoleName": "AWSServiceRoleForAutoScaling_suffix", "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix", "Path": "/aws-service-role/autoscaling.amazonaws.com/", "AssumeRolePolicyDocument": { "Version": "2012-10-17", "Statement": [ { "Action": [ "sts:AssumeRole" ], "Principal": { "Service": [ "autoscaling.amazonaws.com" ] }, "Effect": "Allow" } ] } } }

詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。

サービスにリンクされたロールを編集する

Amazon EC2 Auto Scaling 用に作成されたサービスにリンクされたロールは編集できません。サービスにリンクされたロールを作成した後、ロールの名前またはアクセス許可を変更することはできません。ただし、ロールの説明は編集できます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。

サービスにリンクされたロールを削除する

Auto Scaling グループを使用していない場合、そのサービスにリンクされたロールを削除することをお勧めします。ロールを削除すると、使用されていないエンティティやアクティブにモニタリングおよび維持されていないエンティティがなくなります。

サービスにリンクされたロールを削除するには、まずその関連依存リソースを削除します。これにより、リソースに対する Amazon EC2 Auto Scaling アクセス許可を誤って取り消すことがなくなります。サービスにリンクされたロールが複数の Auto Scaling グループで使用されている場合、サービスにリンクされたロールを削除する前に、そのロールを使用するすべての Auto Scaling グループを削除する必要があります。詳細については、「Auto Scaling インフラストラクチャを削除する」を参照してください。

IAM を使用して、サービスにリンクされたロールを削除できます。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

AWSServiceRoleForAutoScaling サービスにリンクされたロールを削除すると、Amazon EC2 Auto Scaling は Auto Scaling グループを作成するときにロールを再度作成し、別のサービスにリンクされたロールを指定しません。