のサービスにリンクされたロールの使用 AWS Config - AWS Config
のサービスにリンクされたロールのアクセス許可 AWS Configのサービスにリンクされたロールの作成 AWS Configのサービスにリンクされたロールの編集 AWS Configのサービスにリンクされたロールの削除 AWS Config

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスにリンクされたロールの使用 AWS Config

AWS Config は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールです AWS Config。サービスにリンクされたロールは によって事前定義 AWS Config されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Config が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Config を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Config ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール 列が [はい]になっているサービスを見つけてください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

のサービスにリンクされたロールのアクセス許可 AWS Config

AWS Config は、 という名前のサービスにリンクされたロール AWS Config を使用しますAWSServiceRoleForConfig。このサービスにリンクされたロールを使用して、ユーザーに代わって他の AWS のサービスを呼び出します。

AWSServiceRoleForConfig サービスにリンクされたロールは、config.amazonaws.comサービスを信頼してロールを引き受けます。

AWSServiceRoleForConfig ロールのアクセス許可ポリシーには、 AWS Config リソースの読み取り専用アクセス許可と書き込みアクセス許可、および が AWS Config サポートする他の サービスのリソースの読み取り専用アクセス許可が含まれています。管理ポリシー を表示するにはAWSServiceRoleForConfig、「 の AWS 管理ポリシー AWS Config」を参照してください。詳細については、「サポートされているリソースタイプ」を参照してください。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロール権限」を参照してください。

でサービスにリンクされたロールを使用するには AWS Config、Amazon S3 バケットと Amazon SNS トピックに対するアクセス許可を設定する必要があります。詳細については、サービスでリンクされたロールの使用時に Amazon S3 バケットに必要なアクセス許可サービスにリンクされたロールを使用するときの AWS KMS キーに必要なアクセス許可 (S3 バケット配信)、およびサービスでリンクされたロールを使用する際 Amazon SNS トピックに必要なアクセス許可を参照してください。

のサービスにリンクされたロールの作成 AWS Config

IAM CLI または IAM API で、config.amazonaws.com サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

のサービスにリンクされたロールの編集 AWS Config

AWS Config では、AWSServiceRoleForConfigサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

のサービスにリンクされたロールの削除 AWS Config

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに AWS Config サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

が使用する AWS Config リソースを削除するには AWSServiceRoleForConfig

サービスにリンクされたロールを使用して、ConfigurationRecorders がないことを確認します。 AWS Config コンソールを使用して設定レコーダーを停止できます。記録を停止するには、[Recording is on] (記録はオン) の [Turn off] (無効) を選択します。

AWS Config API ConfigurationRecorderを使用して を削除できます。削除するには、delete-configuration-recorder コマンドを使用します。


        $ aws configservice delete-configuration-recorder --configuration-recorder-name default

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、IAM CLI、または IAM API を使用して、サービスにリンクされたロールを削除します AWSServiceRoleForConfig。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。