翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のサービスにリンクされたロール AWS CloudHSM
以前に に作成した IAM ポリシーには iam:CreateServiceLinkedRole
action. AWS CloudHSM defines という名前のサービスにリンクされたロールのカスタマー管理ポリシー AWS CloudHSMが含まれていますAWSServiceRoleForCloudHSM。ロールは によって事前定義 AWS CloudHSM されており、ユーザーに代わって他の AWS サービスを呼び出す AWS CloudHSM ために必要なアクセス許可が含まれています。ロールは、ロールポリシーと信頼ポリシーのアクセス許可を手動で追加する必要がないため、サービスを簡単に設定できます。
ロールポリシーにより AWS CloudHSM 、 はユーザーに代わって Amazon CloudWatch Logs ロググループとログストリームを作成し、ログイベントを書き込むことができます。これは以下と IAM コンソールで確認できます。
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
AWSServiceRoleForCloudHSM ロールの信頼ポリシーにより、 AWS CloudHSM はロールを引き受けることができます。
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
サービスにリンクされたロールを作成する (自動)
AWS CloudHSM は、 AWS CloudHSM 管理者グループの作成時に定義したアクセス許可に iam:CreateServiceLinkedRole
アクションを含めると、クラスターの作成時にAWSServiceRoleForCloudHSMロールを作成します。のカスタマー管理ポリシー AWS CloudHSM を参照してください。
すでに 1 つ以上のクラスターがあり、AWSServiceRoleForCloudHSMロールを追加するだけの場合は、コンソール、create-cluster コマンド、または CreateCluster API オペレーションを使用してクラスターを作成できます。次に、コンソール、delete-cluster コマンド、または DeleteCluster API オペレーションを使用して削除します。新しいクラスターを作成すると、サービスにリンクされたロールが作成され、アカウントのすべてのクラスターに適用されます。または、ロールを手動で作成することもできます。詳細については、次のセクションを参照してください。
注記
AWSServiceRoleForCloudHSM ロールを追加するためにのみクラスターを作成する場合は、 で説明されているすべてのステップを実行してクラスターの開始方法 AWS CloudHSMを作成する必要はありません。
サービスにリンクされたロールを作成する (手動)
IAM コンソール AWS CLI、または API を使用してAWSServiceRoleForCloudHSMロールを作成できます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。
サービスにリンクされたロールを編集する
AWS CloudHSM では、AWSServiceRoleForCloudHSMロールを編集することはできません。たとえば、ロールの作成後、さまざまなエンティティが名前でロールを参照する可能性があるため、名前を変更することはできません。また、ロールのポリシーを変更することもできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。
サービスリンクロールの削除
サービスにリンクされたロールは、適用されたクラスターが存在する限り削除できません。ロールを削除するには、まずクラスタ内の各 HSM を削除してからクラスターを削除する必要があります。アカウント内のすべてのクラスターを削除する必要があります。その後、IAM コンソール AWS CLI、または API を使用してロールを削除できます。クラスターの削除の詳細については、「AWS CloudHSM クラスターの削除」を参照してください。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。