のサービスにリンクされたロールの使用 AWS CloudTrail

AWS CloudTrail は AWS Identity and Access Management （IAM） サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプのIAMロールです CloudTrail。サービスにリンクされたロールは によって事前定義 CloudTrail されており、 AWS のサービス ユーザーに代わってサービスが他の を呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 CloudTrail が簡単になります。 は、サービスにリンクされたロールのアクセス許可 CloudTrail を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け CloudTrail ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。 そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。

のサービスにリンクされたロールのアクセス許可 CloudTrail

CloudTrail は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForCloudTrail。このサービスにリンクされたロールは、組織の証跡と組織のイベントデータストアのサポートに使用されます。

AWSServiceRoleForCloudTrail サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

• cloudtrail.amazonaws.com

このロールは、 の CloudTrail 組織証跡と CloudTrail Lake 組織のイベントデータストアの作成と管理をサポートするために使用されます CloudTrail。詳細については、「組織の証跡の作成」を参照してください。

ロールにアタッチされたCloudTrailServiceRolePolicyポリシーにより CloudTrail 、 は指定されたリソースに対して次のアクションを実行できます。

• すべての CloudTrail リソースに対するアクション：

  • All

• すべての AWS Organizations リソースに対するアクション：

  • organizations:DescribeAccount

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

• 組織の委任された管理者を一覧表示するための CloudTrail サービスプリンシパルのすべての Organizations リソースに対するアクション：

  • organizations:ListDelegatedAdministrators

• 組織のイベントデータストアで Lake フェデレーションを無効にするアクション:

  • glue:DeleteTable

  • lakeformation:DeRegisterResource

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

のサービスにリンクされたロールの作成 CloudTrail

サービスリンクロールを手動で作成する必要はありません。組織の証跡または組織のイベントデータストアを作成するか、 CloudTrail コンソールで委任された管理者を追加するか、 AWS CLI または APIオペレーションを使用して、サービスにリンクされたロールが存在しない場合、 CloudTrail によって自動的に作成されます。

このサービスリンクロールを削除した後に再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。組織の証跡または組織のイベントデータストアを作成するか、委任された管理者を追加すると、 によってサービスにリンクされたロールが再度 CloudTrail 作成されます。

のサービスにリンクされたロールの編集 CloudTrail

CloudTrail では、AWSServiceRoleForCloudTrailサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

のサービスにリンクされたロールの削除 CloudTrail

AWSServiceRoleForCloudTrail ロールを手動で削除する必要はありません。 AWS アカウント が Organizations 組織から削除されると、AWSServiceRoleForCloudTrailロールはその から自動的に削除されます AWS アカウント。組織の管理アカウントの AWSServiceRoleForCloudTrail サービスリンクロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。

IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。

注記

リソースを削除しようとしたときに CloudTrail サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。

• Organizations の組織 AWS アカウント から を削除します。

• 証跡を更新し、組織の証跡を停止させる必要があります。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。

• イベントデータストアを組織のイベントデータストアではなくなるように更新します。詳細については、「コンソールでイベントデータストアを更新する」を参照してください。

• 証跡を削除します。詳細については、「 CloudTrail コンソールを使用した証跡の削除」を参照してください。

• イベントデータストアを削除します。詳細については、「コンソールでイベントデータストアを削除する」を参照してください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForCloudTrailサービスにリンクされたロールを削除します。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。

CloudTrail サービスにリンクされたロールでサポートされているリージョン

CloudTrail は、 CloudTrail と Organizations の両方 AWS リージョン が利用可能なすべての で、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS 全般のリファレンス」の「AWS のサービス エンドポイント」を参照してください。