翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のサービスにリンクされたロール AWS Direct Connect
AWS Direct Connect は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Direct Connect。サービスにリンクされたロールは、 によって事前定義 AWS Direct Connect されており、ユーザーに代わってサービスが他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Direct Connect が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Direct Connect を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Direct Connect ることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、 AWS Direct Connect リソースへのアクセス許可が誤って削除されないため、リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール列がはいになっているサービスを見つけてください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、はいリンクを選択します。
のサービスにリンクされたロールのアクセス許可 AWS Direct Connect
AWS Direct Connect は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForDirectConnect。これにより、 AWS Direct Connect は AWS Secrets Manager ユーザーに代わって に保存されている MACSec シークレットを取得できます。
AWSServiceRoleForDirectConnect サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。
-
directconnect.amazonaws.com
AWSServiceRoleForDirectConnect サービスにリンクされたロールは、マネージドポリシーである AWSDirectConnectServiceRolePolicy を使用します。
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。AWSServiceRoleForDirectConnect サービスリンクロールが適切に作成されるようにするには、 AWS Direct Connect
で使用する IAM アイデンティティに必要な許可が付与されている必要があります。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。
{ "Version": "2012-10-17", "Statement": [ { "Action": "iam:CreateServiceLinkedRole", "Condition": { "StringLike": { "iam:AWSServiceName": "directconnect.amazonaws.com" } }, "Effect": "Allow", "Resource": "*" }, { "Action": "iam:GetRole", "Effect": "Allow", "Resource": "*" } ] }
詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。
のサービスにリンクされたロールの作成 AWS Direct Connect
サービスにリンクされたロールを手動で作成する必要はありません。 は、サービスにリンクされたロールを自動的に AWS Direct Connect 作成します。associate-mac-sec-key コマンドを実行すると、 はサービスにリンクされたロール AWS を作成し AWS CLI、 が AWS Secrets Manager ユーザーに代わって AWS Management Console、、または AWS API に保存されている MACsec シークレットを取得 AWS Direct Connect できるようにします。
重要
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。
このサービスにリンクされたロールを削除し、再度作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成できます。 は、サービスにリンクされたロールを再度 AWS Direct Connect 作成します。
IAM コンソールを使用して、 AWS Direct Connect ユースケースでのサービスリンクロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用してdirectconnect.amazonaws.comサービスにリンクされたロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
のサービスにリンクされたロールの編集 AWS Direct Connect
AWS Direct Connect では、AWSServiceRoleForDirectConnectサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
のサービスにリンクされたロールの削除 AWS Direct Connect
AWSServiceRoleForDirectConnect ロールを手動で削除する必要はありません。サービスにリンクされたロールを削除するときは、 AWS Secrets Manager ウェブサービスに保存されているすべての関連リソースを削除する必要があります。 AWS Management Console、 AWS CLI、または AWS API は、リソースを AWS Direct Connect クリーンアップし、サービスにリンクされたロールを削除します。
サービスリンクロールは、IAM コンソールを使用して削除することもできます。これを実行するには、まずサービスリンクロールのリソースをクリーンアップする必要があります。その後、サービスリンクロールを手動で削除することができます。
注記
リソースを削除しようとしたときに AWS Direct Connect サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
で使用される AWS Direct Connect リソースを削除するには AWSServiceRoleForDirectConnect
-
すべての MACsec キーと接続間の関連付けを削除します。詳細については、「MACsec シークレットキーと AWS Direct Connect 接続間の関連付けを削除する」を参照してください
-
すべての MACsec キーと LAG 間の関連付けを削除します。詳細については、「MACsec シークレットキーと AWS Direct Connect エンドポイント LAG 間の関連付けを削除する」を参照してください
サービスリンクロールを IAM で手動削除するには
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForDirectConnectサービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
AWS Direct Connect サービスにリンクされたロールでサポートされているリージョン
AWS Direct Connect は、MAC セキュリティ機能が利用可能なすべての AWS リージョン でサービスにリンクされたロールの使用をサポートしています。詳細については、「AWS Direct Connect Locations
