翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
サービスにリンクされたロールを使用する AWS CloudTrail
AWS CloudTrail AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用する。サービスにリンクされたロールは、に直接リンクされるユニークなタイプの IAM ロールです。 CloudTrailサービスにリンクされたロールは、 CloudTrail サービスがユーザーに代わって他のユーザーを呼び出すために必要なすべての権限によって事前定義されており、その権限が含まれています。 AWS のサービス
サービスにリンクされたロールでは、必要な権限を手動で追加する必要がないため、 CloudTrail 設定が簡単になります。 CloudTrail サービスにリンクされたロールの権限を定義し、特に定義されていない限り、 CloudTrail そのロールを引き受けることしかできません。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール 列が [はい]になっているサービスを見つけてください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。
サービスにリンクされたロールの権限 CloudTrail
CloudTrail という名前のサービスにリンクされたロールを使用 AWSServiceRoleForCloudTrail— このサービスにリンクされたロールは、組織の記録や組織のイベントデータストアをサポートするために使用されます。
AWSServiceRoleForCloudTrail サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
-
cloudtrail.amazonaws.com
このロールは、 CloudTrail での組織トレイルと CloudTrail Lake 組織イベントデータストアの作成と管理を支援するために使用されます。 CloudTrail詳細については、「組織の証跡の作成」を参照してください。
CloudTrailServiceRolePolicyロールに添付されたポリシーにより CloudTrail 、指定されたリソースに対して以下のアクションを実行できます。
-
CloudTrail すべてのリソースに対するアクション:
-
All
-
-
AWS Organizations 全リソースに対するアクション:
-
organizations:DescribeAccount
-
organizations:DescribeOrganization
-
organizations:ListAccounts
-
organizations:ListAWSServiceAccessForOrganization
-
-
CloudTrail サービスプリンシパルが組織の委任管理者を一覧表示するためのすべてのOrganizations リソースに対するアクション:
-
organizations:ListDelegatedAdministrators
-
-
組織のイベントデータストアで Lake フェデレーションを無効にするアクション:
-
glue:DeleteTable
-
lakeformation:DeRegisterResource
-
サービスリンクロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロール権限」を参照してください。
サービスにリンクされたロールの作成 CloudTrail
サービスリンクロールを手動で作成する必要はありません。組織記録や組織イベントデータストアを作成したり、 CloudTrail コンソールで委任管理者を追加したり、 AWS CLI または API CloudTrail 操作を使用したりすると、サービスにリンクされたロールがまだ存在しない場合は自動的に作成されます。
このサービスリンクロールを削除した後に再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。組織記録データストアまたは組織イベントデータストアを作成したり、 CloudTrail 委任管理者を追加したりすると、サービスにリンクされたロールが再び作成されます。
のサービスにリンクされたロールの編集 CloudTrail
CloudTrail AWSServiceRoleForCloudTrailサービスにリンクされたロールは編集できません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
のサービスにリンクされたロールを削除する CloudTrail
ロールを手動で削除する必要はありません。 AWSServiceRoleForCloudTrail がOrganizations AWS アカウント 組織から削除されると、AWSServiceRoleForCloudTrailそのロールはその組織から自動的に削除されます AWS アカウント。組織の管理アカウントの AWSServiceRoleForCloudTrail サービスリンクロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。
IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。
注記
CloudTrail サービスがロールを使用していたときにリソースを削除しようとすると、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。
-
「Organizations」 AWS アカウント 内の組織からを削除します。
-
証跡を更新し、組織の証跡を停止させる必要があります。詳細については、「証跡の更新」を参照してください。
-
イベントデータストアを組織のイベントデータストアではなくなるように更新します。詳細については、「コンソールでイベントデータストアを更新します。」を参照してください。
-
証跡を削除します。詳細については、「証跡の削除」を参照してください。
-
イベントデータストアを削除します。詳細については、「コンソールでイベントデータストアを削除します。」を参照してください。
サービスにリンクされたロールを IAM で手動削除するには
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrailサービスにリンクされたロールを削除します。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの削除」を参照してください。
サービスにリンクされたロールがサポートされているリージョン CloudTrail
CloudTrail は、 AWS リージョン CloudTrail 利用可能なすべての場所とOrganizations でのサービスにリンクされたロールの使用をサポートします。詳細については、「AWS 全般のリファレンス」の「AWS のサービス エンドポイント」を参照してください。