サービスにリンクされたロールの権限 CloudTrail サービスにリンクされたロールの作成 CloudTrail のサービスにリンクされたロールの編集 CloudTrail のサービスにリンクされたロールを削除する CloudTrail サービスにリンクされたロールがサポートされているリージョン CloudTrail

サービスにリンクされたロールを使用する AWS CloudTrail

AWS CloudTrail AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用する。サービスにリンクされたロールは、に直接リンクされるユニークなタイプの IAM ロールです。 CloudTrailサービスにリンクされたロールは、 CloudTrail サービスがユーザーに代わって他のユーザーを呼び出すために必要なすべての権限によって事前定義されており、その権限が含まれています。 AWS のサービス

サービスにリンクされたロールでは、必要な権限を手動で追加する必要がないため、 CloudTrail 設定が簡単になります。 CloudTrail サービスにリンクされたロールの権限を定義し、特に定義されていない限り、 CloudTrail そのロールを引き受けることしかできません。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール 列が [はい]になっているサービスを見つけてください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

サービスにリンクされたロールの権限 CloudTrail

CloudTrail という名前のサービスにリンクされたロールを使用 AWSServiceRoleForCloudTrail— このサービスにリンクされたロールは、組織の記録や組織のイベントデータストアをサポートするために使用されます。

AWSServiceRoleForCloudTrail サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

cloudtrail.amazonaws.com

このロールは、 CloudTrail での組織トレイルと CloudTrail Lake 組織イベントデータストアの作成と管理を支援するために使用されます。 CloudTrail詳細については、「組織の証跡の作成」を参照してください。

CloudTrailServiceRolePolicyロールに添付されたポリシーにより CloudTrail 、指定されたリソースに対して以下のアクションを実行できます。

CloudTrail すべてのリソースに対するアクション:
- All
AWS Organizations 全リソースに対するアクション:
- organizations:DescribeAccount
- organizations:DescribeOrganization
- organizations:ListAccounts
- organizations:ListAWSServiceAccessForOrganization
CloudTrail サービスプリンシパルが組織の委任管理者を一覧表示するためのすべてのOrganizations リソースに対するアクション:
- organizations:ListDelegatedAdministrators
組織のイベントデータストアで Lake フェデレーションを無効にするアクション:
- glue:DeleteTable
- lakeformation:DeRegisterResource

サービスリンクロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロール権限」を参照してください。

サービスにリンクされたロールの作成 CloudTrail

サービスリンクロールを手動で作成する必要はありません。組織記録や組織イベントデータストアを作成したり、 CloudTrail コンソールで委任管理者を追加したり、 AWS CLI または API CloudTrail 操作を使用したりすると、サービスにリンクされたロールがまだ存在しない場合は自動的に作成されます。

このサービスリンクロールを削除した後に再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。組織記録データストアまたは組織イベントデータストアを作成したり、 CloudTrail 委任管理者を追加したりすると、サービスにリンクされたロールが再び作成されます。

のサービスにリンクされたロールの編集 CloudTrail

CloudTrail AWSServiceRoleForCloudTrailサービスにリンクされたロールは編集できません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

のサービスにリンクされたロールを削除する CloudTrail

ロールを手動で削除する必要はありません。 AWSServiceRoleForCloudTrail がOrganizations AWS アカウント組織から削除されると、AWSServiceRoleForCloudTrailそのロールはその組織から自動的に削除されます AWS アカウント。組織の管理アカウントの AWSServiceRoleForCloudTrail サービスリンクロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。

注記

CloudTrail サービスがロールを使用していたときにリソースを削除しようとすると、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。

「Organizations」 AWS アカウント内の組織からを削除します。
証跡を更新し、組織の証跡を停止させる必要があります。詳細については、「証跡の更新」を参照してください。
イベントデータストアを組織のイベントデータストアではなくなるように更新します。詳細については、「コンソールでイベントデータストアを更新します。」を参照してください。
証跡を削除します。詳細については、「証跡の削除」を参照してください。
イベントデータストアを削除します。詳細については、「コンソールでイベントデータストアを削除します。」を参照してください。

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrailサービスにリンクされたロールを削除します。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの削除」を参照してください。

サービスにリンクされたロールがサポートされているリージョン CloudTrail

CloudTrail は、 AWS リージョン CloudTrail 利用可能なすべての場所とOrganizations でのサービスにリンクされたロールの使用をサポートします。詳細については、「AWS 全般のリファレンス」の「AWS のサービスエンドポイント」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

AWS 管理ポリシー