翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS Direct Connect のサービスリンクロール
AWS Direct Connect は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスにリンクされたロールは、AWS Direct Connect に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS Direct Connect による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべての許可を備えています。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Direct Connect の設定が簡単になります。AWS Direct Connect は、このサービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、AWS Direct Connect のみがそのロールを引き受けることができます。定義される許可は、信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへの意図しないアクセスによるアクセス許可の削除が防止され、AWS Direct Connect リソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照して、[Service-Linked Role] (サービスにリンクされたロール)列で [Yes] (はい) のあるサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。
AWS Direct Connect のサービスにリンクされたロールの許可
AWS Direct Connect は、AWSServiceRoleForDirectConnect という名前のサービスリンクロールを使用します。これは、AWS Direct Connect が、AWS Secrets Manager に保存されている MACSec シークレットをユーザーに代わって取得できるようにします。
AWSServiceRoleForDirectConnect サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。
-
directconnect.amazonaws.com
AWSServiceRoleForDirectConnect サービスにリンクされたロールは、マネージドポリシーである AWSDirectConnectServiceRolePolicy を使用します。
サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。AWSServiceRoleForDirectConnect サービスリンクロールが適切に作成されるようにするには、AWS Direct Connect で使用する IAM アイデンティティに必要な許可が付与されている必要があります。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:CreateServiceLinkedRole", "Condition": { "StringLike": { "iam:AWSServiceName": "directconnect.amazonaws.com" } }, "Effect": "Allow", "Resource": "*" }, { "Action": "iam:GetRole", "Effect": "Allow", "Resource": "*" } ] }
詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。
AWS Direct Connect のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。AWS Direct Connect がユーザーに代わってサービスリンクロールを作成します。associate-mac-sec-key コマンドを実行すると、AWS は、AWS Direct Connect が AWS Management Console、AWS CLI、または AWS API を使用して、AWS Secrets Manager に保存されている MACsec シークレットをユーザーに代わって取得できるようにするサービスリンクロールを作成します。
重要
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに表示される新しいロール」を参照してください。
このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合にも、アカウントでのロールの再作成は同様な方法で行えます。サービスにリンクされたロールが、AWS Direct Connect により自動的に作成されます。
IAM コンソールを使用して、AWS Direct Connect ユースケースでのサービスリンクロールを作成することもできます。AWS CLI または AWS API で、サービスにリンクされたロールをサービス名 (directconnect.amazonaws.com) で作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスにリンクされたロールを削除する場合、この同じプロセスを使用して、もう一度ロールを作成できます。
のサービスにリンクされたロールの編集AWS Direct Connect
AWS Direct Connect では、AWSServiceRoleForDirectConnect のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。
AWS Direct Connect のサービスにリンクされたロールの削除
AWSServiceRoleForDirectConnect ロールを手動で削除する必要はありません。サービスリンクロールを削除するときは、AWS Secrets Manager ウェブサービスに保存されているすべての関連リソースを削除する必要があります。AWS Management Console、AWS CLI、 AWS API、または AWS Direct Connect がユーザーに代わってリソースをクリーンアップし、サービスリンクロールを削除します。
サービスリンクロールは、IAM コンソールを使用して削除することもできます。これを実行するには、まずサービスリンクロールのリソースをクリーンアップする必要があります。その後、サービスリンクロールを手動で削除することができます。
注記
リソースの削除試行時に AWS Direct Connect サービスがサービスリンクロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
AWSServiceRoleForDirectConnect で使用されている AWS Direct Connect リソースを削除するには
-
すべての MACsec キーと接続間の関連付けを削除します。詳細については、「MACsec シークレットキーと接続の間の関連付けを解除する」を参照してください
-
すべての MACsec キーと LAG 間の関連付けを削除します。詳細については、「MACsec シークレットキーと LAG の間の関連付けを解除する」を参照してください
IAM を使用してサービスリンクロールを手動で削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForDirectConnect サービスリンクロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
AWS Direct Connect のサービスにリンクされたロールをサポートするリージョン
AWS Direct Connect は、MAC セキュリティ機能が利用可能になっているすべての AWS リージョンでサービスリンクロールの使用をサポートしています。詳細については、「AWS Direct Connect ロケーション
