AWS Direct Connect のサービスにリンクされたロールの使用 - AWS Direct Connect

AWS Direct Connect のサービスにリンクされたロールの使用

AWS Direct Connect は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールですAWS Direct Connect サービスにリンクされたロールは、AWS Direct Connect による事前定義済みのロールであり、ユーザーに代わってサービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス権限を備えています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Direct Connect の設定が簡単になります。AWS Direct Connect は、このサービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、AWS Direct Connect のみがそのロールを引き受けることができます。定義される許可は、信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへの意図しないアクセスによるアクセス許可の削除が防止され、AWS Direct Connect リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、IAM と連携する AWS のサービスを参照して、[Service-Linked Role] (サービスにリンクされたロール) 列が [Yes] (はい) になっているサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、はい リンクを選択します。

AWS Direct Connect のサービスにリンクされたロールのアクセス許可

AWS Direct Connect は、AWSServiceRoleForDirectConnect という名前のサービスリンクロールを使用します。これにより、AWS Direct Connect がユーザーに代わって AWS Secrets Manager に保存されている MACsec シークレットを取得することができます。

AWSServiceRoleForDirectConnect サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • directconnect.amazon.com

AWSServiceRoleForDirectConnect サービスリンクロールは、マネージドポリシー AWSDirectConnectServiceRolePolicy を使用します。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。AWSServiceRoleForDirectConnect サービスにリンクされたロールを適切に作成するには、 AWS Direct Connect を使用する IAM アイデンティティに、必要な許可が付与されている必要があります。必要な許可を付与するには、次のポリシーを IAM アイデンティティにアタッチします。

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "*", "Condition": { "StringLike": { "iam:AWSServiceName": "directconnect.amazonaws.com" } } } ] }

詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。

のサービスにリンクされたロールの作成AWS Direct Connect

サービスにリンクされたロールを手動で作成する必要はありません。associate-mac-sec-key command を実行すると、AWS チームが AWS Direct Connect、AWS Direct Connect、または AWS Secrets Manager API を使用して、AWS Management Console に保存された MACsec シークレットをユーザーに代わって入手するために AWS CLI を取得できるようにするサービスリンクロールを AWS が作成し、AWS Direct Connect がユーザーのサービスリンクロールを作成します。

重要

このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合にも、アカウントでのロールの再作成は同様な方法で行えます。サービスにリンクされたロールが、AWS Direct Connect により自動的に作成されます。

IAM コンソールを使用して、AWS Direct Connect ユースケースでサービスリンクロールを作成することもできます。AWS CLI または AWS API で、サービスにリンクされたロールをサービス名 (directconnect.amazon.com) で作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスにリンクされたロールを削除する場合、この同じプロセスを使用して、もう一度ロールを作成できます。

のサービスにリンクされたロールの編集AWS Direct Connect

AWS Direct Connect では、AWSServiceRoleForDirectConnect のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

AWS Direct Connect のサービスにリンクされたロールの削除

AWSServiceRoleForDirectConnect ロールを手動で削除する必要はありません。サービスリンクロールを削除するときは、AWS Secrets Manager ウェブサービスに保存されているすべての関連付けられたリソースを削除する必要があります。AWS Management Console、AWS CLI、または AWS API では、AWS Direct Connect がリソースをクリーンアップして、サービスリンクロールを削除します。

サービスリンクロールは、IAM コンソール、AWS CLI、または AWS API を使用して手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、手動で削除できます。

注記

リソースを削除する際に、AWS Direct Connect サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWS Direct Connect で使用されている AWSServiceRoleForDirectConnect リソースを削除するには

  1. すべての MACsec キーと接続間の関連付けを削除します。詳細については、「MACsec シークレットキーと接続の間の関連付けを解除する」を参照してください

  2. すべての MACsec キーと LAG 間の関連付けを削除します。詳細については、「MACsec シークレットキーと LAG の間の関連付けを解除する」を参照してください

IAM を使用してサービスリンクロールを手動で削除する

IAM コンソール、AWS CLI、またはAWS API を使用して、AWSServiceRoleForDirectConnect サービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

AWS Direct Connect のサービスにリンクされたロールをサポートするリージョン

AWS Direct Connect は、MAC セキュリティの機能を利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS Direct Connect ロケーション」を参照してください。