AWS CloudHSM のサービスにリンクされたロール - AWS CloudHSM
サービスにリンクされたロールを作成する (自動)サービスにリンクされたロールを作成する (手動)サービスにリンクされたロールを編集する サービスリンクロールの削除

AWS CloudHSM のサービスにリンクされたロール

前に AWS CloudHSM のカスタマー管理ポリシー に作成した IAM ポリシーには iam:CreateServiceLinkedRole アクションが含まれます。AWS CloudHSM は AWSServiceRoleForCloudHSM という、サービスにリンクされたロール を定義します。このロールは AWS CloudHSM によって事前に定義されており、AWS CloudHSM がユーザーに代わって他の AWS サービスを呼び出すのに必要なアクセス許可を含みます。ロールは、ロールポリシーと信頼ポリシーのアクセス許可を手動で追加する必要がないため、サービスを簡単に設定できます。

ロールポリシーにより、AWS CloudHSM は Amazon CloudWatch Logs ロググループを作成し、ストリームを記録し、ユーザーに代わってログイベントを書き込むことができます。これは以下と IAM コンソールで確認できます。


{
    "Version": "2018-06-12",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}

AWSServiceRoleForCloudHSM ロールの信頼ポリシーにより、AWS CloudHSM はロールを引き受けることができます。


{
  "Version": "2018-06-12",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudhsm.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

サービスにリンクされたロールを作成する (自動)

AWS CloudHSM 管理者グループの作成時に定義したアクセス許可に iam:CreateServiceLinkedRole アクションを含めると、クラスターを作成するときに、 AWS CloudHSM は AWSServiceRoleForCloudHSM ロールを作成します。「AWS CloudHSM のカスタマー管理ポリシー」を参照してください。

クラスターがすでに 1 つ以上あり、AWSServiceRoleForCloudHSM ロールを作成する場合は、コンソール、create-cluster コマンド、または API の CreateCluster オペレーションを使用してクラスターを作成します。続いて、コンソール、delete-cluster コマンド、または API の DeleteCluster オペレーションを使用してクラスターを削除します。新しいクラスターを作成すると、サービスにリンクされたロールが作成され、アカウントのすべてのクラスターに適用されます。または、ロールを手動で作成することもできます。詳細については、次のセクション を参照してください。

注記

AWSServiceRoleForCloudHSM ロールを追加するためだけにクラスターを作成する場合は、「AWS CloudHSM の開始方法」に記載されているすべての手順を実行してクラスターを作成する必要はありません。

サービスにリンクされたロールを作成する (手動)

IAM コンソール、AWS CLI、または API を使用して、AWSServiceRoleForCloudHSM ロールを作成できます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。

サービスにリンクされたロールを編集する

AWS CloudHSM では、AWSServiceRoleForCloudHSM ロールを編集することはできません。たとえば、ロールの作成後、さまざまなエンティティが名前でロールを参照する可能性があるため、名前を変更することはできません。また、ロールのポリシーを変更することもできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの編集」を参照してください。

サービスリンクロールの削除

サービスにリンクされたロールは、適用されたクラスターが存在する限り削除できません。ロールを削除するには、まずクラスタ内の各 HSM を削除してからクラスターを削除する必要があります。アカウント内のすべてのクラスターを削除する必要があります。次に、IAM コンソール、AWS CLI、または API を使用してロールを削除できます。クラスターの削除の詳細については、「AWS CloudHSM クラスターの削除」を参照してください。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。