AWS CloudTrail のサービスにリンクされたロールの使用 - AWS CloudTrail

AWS CloudTrail のサービスにリンクされたロールの使用

AWS CloudTrail は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、CloudTrail によって事前定義されており、お客様の代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他の IAM エンティティに添付することはできません。

サービスにリンクされたロールをサポートする他のサービスについては、IAM で機能する AWS サービスを参照し、サービスにリンクされたロール列ではいのサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

CloudTrail のサービスにリンクされたロールの許可

CloudTrail は、AWSServiceRoleForCloudTrail という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、組織の証跡機能をサポートするために使用されます。

サービスにリンクされた AWSServiceRoleForCloudTrail ロールは、以下のサービスを信頼してロールを引き受けます。

  • cloudtrail.amazonaws.com

このロールは、CloudTrail の組織の証跡の作成と管理をサポートするために使用されます。詳細については、「組織の証跡の作成」を参照してください。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを完了することを CloudTrail に許可します。

  • すべての CloudTrail リソースに対するアクション:

    • All

  • すべての Organizations リソースに対するアクション:

    • organizations:DescribeAccount

    • organizations:DescribeOrganization

    • organizations:ListAccounts

    • organizations:ListAWSServiceAccessForOrganization

  • CloudTrail サービスプリンシパルのすべての Organizations リソースに対するアクション:

    • organizations:ListDelegatedAdministrators

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

CloudTrail のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API で組織の証跡を作成すると、CloudTrail によってサービスにリンクされたロールが自動的に作成されます。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。組織の証跡を作成すると、CloudTrail によってサービスにリンクされたロールが再び作成されます。

CloudTrail のサービスにリンクされたロールの編集

CloudTrail では、サービスにリンクされた AWSServiceRoleForCloudTrail ロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

CloudTrail のサービスにリンクされたロールの削除

AWSServiceRoleForCloudTrail ロールを手動で削除する必要はありません。AWS アカウントが Organizations 組織から削除された場合、AWSServiceRoleForCloudTrail ロールはその AWS アカウントから自動的に削除されます。組織管理アカウントの サービスにリンクされた AWSServiceRoleForCloudTrail ロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。

サービスリンクロールは、IAM コンソール、AWS CLI、または AWS API を使用して手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。

注記

リソースを削除する際に、CloudTrail サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。

  • Organizations の組織から AWS アカウントを削除します。

  • 証跡を更新し、組織の証跡を停止させる必要があります。

  • 証跡を削除します。

詳細については、「組織の証跡の作成」、「証跡の更新」、および「証跡の削除」を参照してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされた AWSServiceRoleForCloudTrail ロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。

サービスにリンクされた CloudTrail ロールでサポートされるリージョン

CloudTrail は、CloudTrail および Organizations の両方が利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。