AWS Cloud9 は、新しいお客様では利用できなくなりました。 AWS Cloud9 の既存のお客様は、通常どおりサービスを引き続き使用できます。詳細はこちら
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Cloud9のサービスにリンクされたロールの使用
AWS Cloud9 は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプのIAMロールです AWS Cloud9。サービスリンクロールは、 AWS Cloud9 による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可を備えています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を追加する必要がないため、設定 AWS Cloud9 が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Cloud9 を定義し、 のみがそのロールを引き受け AWS Cloud9 ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。
ロールを削除するには、まず関連リソースを削除します。これにより AWS Cloud9 、リソースへのアクセス許可を誤って削除できないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、「 AWS と連携するサービスIAM」を参照してください。また、「サービスにリンクされたロール」列で「はい」のサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
AWS Cloud9のサービスリンクロールのアクセス許可
AWS Cloud9 は、 AWSServiceRoleForAWSCloud9 という名前のサービスにリンクされたロールを使用します。このサービスにリンクされたロールは、ロールを引き受ける上で cloud9.amazonaws.com
サービスを信頼します。
このサービスにリンクされたロールのアクセス許可ポリシーは という名前でAWSCloud9ServiceRolePolicy、 はポリシーに記載されているアクションを指定されたリソースで完了 AWS Cloud9 できるようにします。
重要
License Manager を使用していて、unable to access your
environment
エラーが発生する場合は、古いサービスにリンクされたロールを License Manager をサポートするバージョンに置き換える必要があります。古いロールを削除するだけで置き換えることができます。その後、更新されたロールが自動的に作成されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:RunInstances", "ec2:CreateSecurityGroup", "ec2:DescribeVpcs", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups", "ec2:DescribeInstances", "ec2:DescribeInstanceStatus", "cloudformation:CreateStack", "cloudformation:DescribeStacks", "cloudformation:DescribeStackEvents", "cloudformation:DescribeStackResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:TerminateInstances", "ec2:DeleteSecurityGroup", "ec2:AuthorizeSecurityGroupIngress" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "cloudformation:DeleteStack" ], "Resource": "arn:aws:cloudformation:*:*:stack/aws-cloud9-*" }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:instance/*", "arn:aws:ec2:*:*:security-group/*" ], "Condition": { "StringLike": { "aws:RequestTag/Name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": "*", "Condition": { "StringLike": { "ec2:ResourceTag/aws:cloudformation:stack-name": "aws-cloud9-*" } } }, { "Effect": "Allow", "Action": [ "ec2:StartInstances", "ec2:StopInstances" ], "Resource": [ "arn:aws:license-manager:*:*:license-configuration:*" ] }, { "Effect": "Allow", "Action": [ "iam:ListInstanceProfiles", "iam:GetInstanceProfile" ], "Resource": [ "arn:aws:iam::*:instance-profile/cloud9/*" ] }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/service-role/AWSCloud9SSMAccessRole" ], "Condition": { "StringLike": { "iam:PassedToService": "ec2.amazonaws.com" } } } ] }
がIAMエンティティ (ユーザー、グループ、ロールなど) に代わってサービスにリンクされたロール AWS Cloud9 を作成するようにアクセス許可を設定する必要があります。
AWS Cloud9 が AWSServiceRoleForAWSCloud9 つのサービスリンクロールを作成するには、サービスリンクロールを作成する AWS Cloud9 必要があるIAMエンティティのアクセス許可ポリシーに次のステートメントを追加します。
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }
または、 AWS管理ポリシーAWSCloud9User
または AWSCloud9Administrator
をIAMエンティティに追加することもできます。
IAM エンティティが AWSServiceRoleForAWSCloud9 つのサービスリンクロールを削除できるようにするには、サービスリンクロールを削除する必要があるIAMエンティティのアクセス許可ポリシーに次のステートメントを追加します。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "cloud9.amazonaws.com" } } }
AWS Cloud9のサービスリンクロールの作成
サービスにリンクされたロールを手動で作成する必要はありません。 AWS Cloud9 開発環境を作成すると、 AWS Cloud9 はサービスにリンクされたロールを作成します。
AWS Cloud9のサービスにリンクされたロールの編集
で AWSServiceRoleForAWSCloud9 つのサービスにリンクされたロールを編集することはできません AWS Cloud9。たとえば、サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集できますIAM。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
AWS Cloud9のサービスリンクロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。
でサービスにリンクされたロールを削除する IAM
IAM を使用してサービスにリンクされたロールを削除する前に、ロールで使用される AWS Cloud9 リソースをすべて削除する必要があります。 AWS Cloud9 リソースを削除するには、「環境の削除」を参照してください。
IAM コンソールを使用して、 AWSServiceRoleForAWSCloud9 つのサービスにリンクされたロールを削除できます。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
AWS Cloud9 サービスにリンクされたロールでサポートされているリージョン
AWS Cloud9 は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「Amazon Web Services 全般のリファレンス」の「AWS Cloud9」を参照してください。