CodeCatalyst のサービスリンクロールの使用 - Amazon CodeCatalyst

CodeCatalyst のサービスリンクロールの使用

Amazon CodeCatalyst では、AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、CodeCatalyst に直接リンクされる一意のタイプの IAM ロールです。サービスリンクロールは CodeCatalyst によって事前定義されており、サービスがユーザーの代わりに他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスリンクロールを使用すれば、必要なアクセス許可を手動で追加する必要がなくなるため、CodeCatalyst の設定が容易になります。CodeCatalyst は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、そのロールを引き受けることができるのは CodeCatalyst のみです。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、CodeCatalyst リソースにアクセスするためのアクセス許可を誤って削除することがなくなるため、リソースが保護されます。

サービスリンクロールをサポートする他のサービスについては、「IAM と連動する AWS のサービス」を参照し、[Service-linked role (サービスリンクロール)] の列内で [Yes (はい)] と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

CodeCatalyst のサービスリンクロールのアクセス許可

CodeCatalyst は AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization という名前のサービスリンクロールを使用します。これは、ユーザーに代わってアプリケーションインスタンスプロファイルおよび関連付けられたディレクトリのユーザーとグループへの Amazon CodeCatalyst 読み取り専用アクセスを許可します。

AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • codecatalyst.amazonaws.com

AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronizationPolicy という名前のロールアクセス許可ポリシーは、指定されたリソースで次のアクションを完了することを CodeCatalyst に許可します。

  • アクション: CodeCatalyst spaces that support identity federation and SSO users and groupsView application instance profiles and associated directory users and groups

ユーザー、グループ、ロールなどがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、 IAM ユーザーガイド の「サービスリンクロールのアクセス許可」を参照してください。

CodeCatalyst のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API にスペースを作成すると、CodeCatalyst ではサービスリンクロールが作成されます。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、サービスリンクロールのサポートが開始された 2023 年 11 月 17 日より前に CodeCatalyst サービスを使用していた場合、CodeCatalyst によってアカウントに AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization ロールが作成されます。詳細については、「AWS アカウント に新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。スペースを作成すると、CodeCatalyst ではサービスリンクロールがもう一度作成されます。

IAM コンソールを使用して、「アプリケーションインスタンスプロファイルおよび関連付けられたディレクトリのユーザーとグループを表示する」ユースケースでサービスリンクロールを作成することもできます。AWS CLI または AWS API では、codecatalyst.amazonaws.com サービス名を使用してサービスにリンクされたロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

CodeCatalyst のサービスリンクロールの編集

CodeCatalyst では、AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization サービスリンクロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

CodeCatalyst のサービスリンクロールの削除

AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization ロールを手動で削除する必要はありません。AWS Management Console、AWS CLI、または AWS API 内でスペースを削除すると、CodeCatalyst ではリソースがクリーンアップされ、サービスリンクロールが削除されます。

サービスリンクロールは、IAM コンソール、AWS CLI、または AWS API を使用して手動で削除することもできます。そのためにはまず、サービスリンクロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースの削除を試みるときに CodeCatalyst サービスでロールが使用されている場合、削除は失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization で使用されている CodeCatalyst リソースを削除するには

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization サービスリンクロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

CodeCatalyst のサービスリンクロールがサポートされているリージョン

CodeCatalyst は、サービスが使用可能なすべてのリージョンで、サービスリンクロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。

CodeCatalyst は、サービスが使用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしているわけではありません。以下のリージョンでは、AmazonCodeCatalystServiceRoleForIdentityCenterApplicationSynchronization ロールを使用できます。

リージョン名 リージョン識別子 CodeCatalyst のサポート
米国東部 (バージニア北部) us-east-1 不可
米国東部(オハイオ) us-east-2 不可
米国西部(北カリフォルニア) us-west-1 不可
米国西部(オレゴン) us-west-2 はい
アフリカ (ケープタウン) af-south-1 いいえ
アジアパシフィック (香港) ap-east-1 いいえ
アジアパシフィック (ジャカルタ) ap-southeast-3 いいえ
アジアパシフィック (ムンバイ) ap-south-1 不可
アジアパシフィック (大阪) ap-northeast-3 いいえ
アジアパシフィック (ソウル) ap-northeast-2 不可
アジアパシフィック (シンガポール) ap-southeast-1 不可
アジアパシフィック (シドニー) ap-southeast-2 不可
アジアパシフィック (東京) ap-northeast-1 不可
カナダ (中部) ca-central-1 不可
欧州 (フランクフルト) eu-central-1 不可
欧州 (アイルランド) eu-west-1 はい
欧州 (ロンドン) eu-west-2 不可
欧州 (ミラノ) eu-south-1 いいえ
欧州 (パリ) eu-west-3 不可
欧州 (ストックホルム) eu-north-1 不可
中東 (バーレーン) me-south-1 不可
中東 (アラブ首長国連邦) me-central-1 不可
南米(サンパウロ) sa-east-1 不可
AWS GovCloud (米国東部) us-gov-east-1 いいえ
AWS GovCloud (米国西部) us-gov-west-1 いいえ