翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のサービスにリンクされたロールの使用 AWS Compute Optimizer
AWS Compute Optimizer は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Compute Optimizer に直接リンクされた IAM ロールの一意のタイプです。サービスにリンクされたロールは Compute Optimizer によって事前定義されており、サービスがユーザーに代わって他のロールを呼び出すために必要なアクセス許可がすべて含まれています。
サービスリンクロールを使用することで、Compute Optimizer の設定に必要なアクセス許可を手動で追加する必要がなくなります。Compute Optimizer は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Compute Optimizer のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携するサービス」を参照し、「ロール」列で「はい」があるサービスを探します。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。
Compute Optimizer のサービスにリンクされたロールのアクセス許可
Compute Optimizer は、 という名前のサービスにリンクされたロールAWSServiceRoleForComputeOptimizerを使用して、アカウント内の AWS リソースの Amazon CloudWatch メトリクスにアクセスします。
AWSServiceRoleForComputeOptimizer サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
compute-optimizer.amazonaws.com
このロールの許可ポリシーは、Compute Optimizer が指定されたリソースで以下のアクションを完了することを許可します。
-
アクション: すべての AWS リソース
cloudwatch:GetMetricDataで。 -
アクション: すべての AWS リソース
organizations:DescribeOrganizationで。 -
アクション: すべての AWS リソース
organizations:ListAccountsで。 -
アクション: すべての AWS リソースに対する
organizations:ListAWSServiceAccessForOrganization。 -
アクション: すべての AWS リソースに対する
organizations:ListDelegatedAdministrators。
サービスにリンクされたロールのアクセス許可
Compute Optimizer のサービスにリンクされたロールを作成するには、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成できるように権限を設定します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。
IAM エンティティが Compute Optimizer のサービスにリンクされた特定のロールを作成することを許可するには
サービスにリンクされたロールを作成する必要のある IAM エンティティに、次のポリシーを追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
IAM エンティティがサービスにリンクされた任意のロールを作成することを許可するには
サービスにリンクされたロール、または必要なポリシーを含む任意のサービスロールを作成する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Compute Optimizer でのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で Compute Optimizer サービスにオプトインすると、Compute Optimizer によってサービスにリンクされたロールが作成されます。
重要
サービスにリンクされたロールでサポートされている機能を使用する別のサービスでアクションを完了した場合、そのロールがアカウントに表示されることがあります。詳細については、「IAMアカウントに新しいロールが表示される」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再度作成できます。Compute Optimizer サービスにオプトインすると、Compute Optimizer により、サービスにリンクされたロールが再度作成されます。
Compute Optimizer のサービスにリンクされたロールの編集
Compute Optimizer では、 AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
Compute Optimizer のサービスにリンクされたロールの削除
Compute Optimizer を使用する必要がなくなった場合は、 AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、サービスにリンクされたロールを手動で削除する前に、Compute Optimizer をオプトアウトする必要があります。
Compute Optimizer をオプトアウトするには
Compute Optimizer からのオプトアウトの詳細については、「アカウントからオプトアウトする」を参照してください。
サービスにリンクされたロールを IAM で手動削除するには
IAM コンソール、、または AWS API を使用して AWS CLI、 AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
Compute Optimizer サービスにリンクされたロールでサポートされているリージョン
Compute Optimizer では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。現在サポートされている Compute Optimizer の AWS リージョン とエンドポイントを表示するには、「AWS 全般のリファレンス」の「Compute Optimizer エンドポイントとクォータ」を参照してください。
