翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
エラスティッククラスター上のサービスにリンクされたロール
Amazon DocumentDB エラスティッククラスターは、 AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされているロールは、Amazon DocumentDB エラスティッククラスターに直接リンクされれている特殊なタイプの IAM ロールです。サービスにリンクされたロールは、Amazon DocumentDB エラスティッククラスターによって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされているロールを使用すると、必要な権限を手動で追加する必要がないため、Amazon DocumentDB の使用が簡単になります。Amazon DocumentDB エラスティッククラスターには、サービスにリンクされているロールのアクセス許可が定義されます。特に定義されていない限り、Amazon DocumentDB のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。ロールを削除するには、まず関連リソースを削除します。これにより、リソースにアクセスするためのアクセス許可を誤って削除することができないため、Amazon DocumentDB エラスティッククラスターが保護されます。
サービスにリンクされているロールをサポートするその他のサービスについては、「IAM と連携するAWS のサービス」を参照し、[サービスにリンクされたロール] 列が [はい] になっているサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。
エラスティッククラスターに対するサービスにリンクされたロールのアクセス許可
Amazon DocumentDB エラスティッククラスターは、 という名前のサービスにリンクされたロールを使用してAWS ServiceRoleForDocDB-Elastic、Amazon DocumentDB エラスティッククラスターがクラスターに代わって AWS サービスを呼び出すことを許可します。
このサービスにリンクされたロールには、アカウントで操作するためのアクセス許可を付与する AmazonDocDB-ElasticServiceRolePolicy というアクセス許可ポリシーがアタッチされています。ロールのアクセス許可ポリシーは、Amazon DocumentDB エラスティッククラスターが指定リソースに対して以下のアクションを実行することを 許可します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
注記
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。次のエラーメッセージ、「リソースを作成できません。サービスにリンクされたロールを作成するために必要なアクセス許可があることを確認します。それ以外の場合は、時間をおいてからもう一度お試しください。」が表示された場合は、以下のアクセス許可が有効であることを確認します。
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName":"docdb-elastic.amazonaws.com" } } }
詳細については、『AWS ID とアクセス管理ユーザーガイド』の「サービスにリンクされたロールのアクセス許可」を参照してください。
Amazon DocumentDB エラスティッククラスター用のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。DB インスタンスが作成されると、Amazon DocumentDB の Elastic クラスターはサービスにリンクされたロールを自動的に作成します。
Amazon DocumentDB エラスティッククラスター用のサービスにリンクされたロールの編集
Amazon DocumentDB のエラスティッククラスターでは、AWS ServiceRoleForDocDB-Elastic サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、『AWS ID とアクセス管理ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。
Amazon DocumentDB エラスティッククラスター用のサービスにリンクされたロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、サービスにリンクされたロールを削除する前に、すべての クラスターを削除する必要があります。
サービスにリンクされたロールのクリーンアップ
IAM を使用してサービスにリンクされたロールを削除するには、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースをすべて削除する必要があります。
サービスにリンクされたロールにアクティブなセッションがあるかどうかを、IAM コンソールで確認するには:
-
AWS Management Console
にサインインし、IAM コンソール を開きます。 -
IAM コンソールのナビゲーションペインで [ロール] を選択します。次に、
AWS ServiceRoleForDocDB-Elasticロールの名前 (チェックボックスではありません) を選択します。 -
選択したロールの [概要] ページで、[アクセスアドバイザー] タブを選択します。
注記
Amazon DocumentDB が AWS ServiceRoleForDocDB-Elastic ロールを使用しているかどうか不明な場合は、ロールの削除を試みることができます。サービスがロールを使用している場合、削除は失敗し、ロールが使用されている AWS リージョン を表示できます。ロールが使用されている場合は、ロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。
AWS ServiceRoleForDocDB-Elastic ロールを削除する場合は、最初にすべてのクラスターを削除する必要があります。
すべてのクラスターの削除
Amazon DocumentDB コンソールからクラスターを削除する
-
AWS Management Console にサインインし、Amazon DocumentDB コンソール を開きます。
-
ナビゲーションペインで [クラスター] を選択します。
-
削除するクラスターを選択します。
-
[アクション] で、[削除] を選択します。
-
[最終スナップショットを作成しますか?] が表示されたら、[はい] または [いいえ] を選択します。
-
前のステップで [はい] を選択した場合は、[最終スナップショット名] に最終スナップショットの名前を入力します。
-
[削除] を選択します。
注記
AWS ServiceRoleForDocDB-Elastic サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。詳細については、『AWS ID とアクセス管理ユーザーガイド』の「サービスにリンクされたロールの削除」を参照してください。
