翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Trusted Advisorのサービスにリンクされたロールの使用
AWS Trusted Advisor は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意の IAM ロールです AWS Trusted Advisor。サービスにリンクされたロールは、 によって事前定義されており Trusted Advisor、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。 はこのロール Trusted Advisor を使用して 全体の使用状況をチェック AWS し、 環境を改善 AWS するためのレコメンデーションを提供します。例えば、 は Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの使用 Trusted Advisor を分析して、コスト削減、パフォーマンスの向上、障害耐性、セキュリティの向上に役立てます。
注記
AWS Support は、個別の IAM サービスにリンクされたロールを使用してアカウントのリソースにアクセスし、請求、管理、およびサポートサービスを提供します。詳細については、「AWS Supportのサービスにリンクされたロールの使用」を参照してください。
サービスにリンクされたロールをサポートするその他のサービスの詳細については、「IAM と連携するAWS のサービス」を参照してください。サービスにリンクされたロール列が「はい」になっているサービスを見つけます。[はい] のリンクを選択すると、該当するサービスのサービスリンクロールに関するドキュメントが表示されます。
トピック
Trusted Advisorのサービスリンクロールのアクセス許可
Trusted Advisor は、次の 2 つのサービスにリンクされたロールを使用します。
-
AWSServiceRoleForTrustedAdvisor
– このロールは、 Trusted Advisor ユーザーに代わって サービスにアクセスする AWS ロールを引き受けるためにサービスを信頼します。ロールのアクセス許可ポリシーは、すべての AWS リソースに対する Trusted Advisor 読み取り専用アクセスを許可します。このロールは、 に必要なアクセス許可を追加する必要がないため、 AWS アカウントの使用開始が簡単になります Trusted Advisor。 AWS アカウントを開くと、 によってこのロール Trusted Advisor が作成されます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。その他の IAM エンティティにアクセス許可ポリシーをアタッチすることはできません。 アタッチされたポリシーの詳細については、「AWSTrustedAdvisorServiceRolePolicy」を参照してください。
-
AWSServiceRoleForTrustedAdvisorReporting
— このロールは Trusted Advisor サービスを信頼して、組織ビュー機能のロールを継承します。このロールは、 を AWS Organizations 組織の信頼されたサービス Trusted Advisor として有効にします。組織ビューを有効にすると、 がこのロール Trusted Advisor を作成します。 アタッチされたポリシーの詳細については、「AWSTrustedAdvisorReportingServiceRolePolicy」を参照してください。
組織ビューを使用して、組織内のすべてのアカウントの Trusted Advisor チェック結果のレポートを作成できます。この機能の詳細については、「AWS Trusted Advisor の組織ビュー」を参照してください。
サービスにリンクされたロールのアクセス許可の管理
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。次の例では、AWSServiceRoleForTrustedAdvisor サービスリンクロールを使用します。
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールを作成することを許可します
このステップは、 Trusted Advisor アカウントが無効になっており、サービスにリンクされたロールが削除され、ユーザーが を再度有効にするためにロールを再作成する必要がある場合にのみ必要です Trusted Advisor。
サービスにリンクされたロールを作成する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールの説明を編集することを許可します
説明できるのは、AWSServiceRoleForTrustedAdvisor ロールの説明のみです。サービスにリンクされたロールの説明を編集する IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールを削除することを許可します
サービスにリンクされたロールを削除する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
などの AWS 管理ポリシーを使用してAdministratorAccess
Trusted Advisorのサービスリンクロールの作成
AWSServiceRoleForTrustedAdvisor サービスリンクロールを手動で作成する必要はありません。 AWS アカウントを開くと、 によってサービスにリンクされたロール Trusted Advisor が作成されます。
重要
Trusted Advisor がサービスにリンクされたロールのサポートを開始する前に サービスを使用していた場合、 はアカウントにAWSServiceRoleForTrustedAdvisorロールを作成 Trusted Advisor 済みです。詳細については、IAM ユーザーガイドの「IAM アカウントに新しいロールが表示される」を参照してください。
お客様のアカウントに AWSServiceRoleForTrustedAdvisor サービスリンクロールが設定されていない場合、 Trusted Advisor が想定どおりに動作しません。これは、アカウント内のユーザーが Trusted Advisor を無効にした後、サービスにリンクされたロールを削除した場合に発生することがあります。その場合は、IAM を使用して AWSServiceRoleForTrustedAdvisor サービスリンクロールを作成してから、 Trusted Advisorを有効にします。
を有効にするには Trusted Advisor (コンソール)
-
IAM コンソール AWS CLI、または IAM API を使用して、 のサービスにリンクされたロールを作成します Trusted Advisor。詳細については、「サービスにリンクされたロールの作成」を参照してください。
-
にサインインし AWS Management Console、 の Trusted Advisor コンソールに移動しますhttps://console.aws.amazon.com/trustedadvisor
。 [無効な Trusted Advisor] ステータスバナーがコンソールに表示されます。
-
ステータスバナーから Trusted Advisor ロールの有効化を選択します。必要な
AWSServiceRoleForTrustedAdvisorが検出されない場合は、無効ステータスバナーが表示されたままになります。
Trusted Advisorのサービスにリンクされたロールの編集
さまざまなエンティティから参照される可能性があるため、サービスにリンクされたロールの名前を変更することはできません。ただし、IAM コンソール、または IAM API を使用して AWS CLI、ロールの説明を編集できます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
Trusted Advisorのサービスリンクロールの削除
の機能やサービスを使用する必要がない場合は Trusted Advisor、AWSServiceRoleForTrustedAdvisorロールを削除できます。このサービスにリンクされたロールを削除する Trusted Advisor 前に、 を無効にする必要があります。これにより、 Trusted Advisor オペレーションに必要なアクセス権限の削除を防止します。を無効にすると Trusted Advisor、オフライン処理や通知など、すべてのサービス機能を無効にします。また、メンバーアカウント Trusted Advisor に対して を無効にすると、個別の支払いアカウントも影響を受けます。つまり、コスト削減方法を特定する Trusted Advisor チェックは受け取れません。 Trusted Advisor
コンソールにはアクセスできません。アクセス拒否エラーを Trusted Advisor 返す API コール。
Trusted Advisorを再度有効化するには、AWSServiceRoleForTrustedAdvisor サービスリンクロールを再作成する必要があります。
AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを削除する前に、コンソール Trusted Advisor で を無効にする必要があります。
を無効にするには Trusted Advisor
-
にサインイン AWS Management Console し、 の Trusted Advisor コンソールに移動しますhttps://console.aws.amazon.com/trustedadvisor
。 -
ナビゲーションペインで [設定] を選択します。
-
[Service Linked Role Permissions (サービスにリンクされたロールのアクセス許可)] セクションで、[Disable Trusted Advisor(無効にする)] を選択します。
-
確認ダイアログボックスで、[OK] を選択して、 Trusted Advisorを無効にすることを確認します。
を無効にすると Trusted Advisor、すべての Trusted Advisor 機能が無効になり、 Trusted Advisor コンソールには無効ステータスバナーのみが表示されます。
その後、IAM コンソール、、または IAM API を使用して AWS CLI、 という名前 Trusted Advisor のサービスにリンクされたロールを削除できますAWSServiceRoleForTrustedAdvisor。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。
