サービスにリンクされたロールについて - Amazon DocumentDB

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

サービスにリンクされたロールについて

Amazon DocumentDB (MongoDB 互換) は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon DocumentDB に直接リンクされた一意のタイプのIAMロールです。サービスにリンクされたロールは Amazon DocumentDB によって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要な権限を手動で追加する必要がないため、Amazon DocumentDB の使用が簡単になります。Amazon DocumentDB は、サービスにリンクされたロールの権限を定義します。特に定義されていない限り、Amazon DocumentDB のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

ロールを削除するには、まず関連リソースを削除します。これにより、リソースにアクセスするためのアクセス許可を誤って削除することができないため、Amazon DocumentDB リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携する のサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。 サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Amazon DocumentDB サービスにリンクされたロールのアクセス許可

Amazon DocumentDB (MongoDB 互換) は、 という名前のサービスにリンクされたロールを使用してAWSServiceRoleForRDS、Amazon DocumentDB がクラスターに代わって AWS サービスを呼び出すことを許可します。

AWSServiceRoleForRDS サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • docdb.amazonaws.com

ロールの許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon DocumentDB に許可します。

  • ec2 でのアクション:

    • AssignPrivateIpAddresses

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeInternetGateways

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcAttribute

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

    • UnassignPrivateIpAddresses

  • sns でのアクション:

    • ListTopic

    • Publish

  • cloudwatch でのアクション:

    • PutMetricData

    • GetMetricData

    • CreateLogStream

    • PullLogEvents

    • DescribeLogStreams

    • CreateLogGroup

注記

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。次のエラーメッセージが返される場合があります。

リソースを作成できません。サービスにリンクされたロールを作成するために必要なアクセス許可があることを確認します。それ以外の場合は、時間をおいてからもう一度お試しください。

このエラーが表示された場合は、次のアクセス許可が有効であることを確認します。

{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }

詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon DocumentDB サービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。クラスターを作成すると、Amazon DocumentDB がサービスにリンクされたロールを作成します。

サービスにリンクされたこのロールを削除したが、再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。クラスターを作成すると、Amazon DocumentDB によってサービスにリンクされたロールが再度作成されます。

Amazon DocumentDB サービスにリンクされたロールの変更

Amazon DocumentDB では、 AWSServiceRoleForRDS サービスにリンクされたロールを変更することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を変更できますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Amazon DocumentDB サービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを削除する前に、すべての クラスターを削除する必要があります。

Amazon DocumentDB サービスにリンクされたロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除する前に、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースを削除する必要があります。

サービスにリンクされたロールがアクティブなセッションを持っているかどうかをコンソールを使用して確認するには
  1. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. IAM コンソールのナビゲーションペインで、ロール を選択し、AWSServiceRoleForRDSロールの名前 (チェックボックスではなく) を選択します。

  3. 選択したロールの 概要 ページで、アクセスアドバイザー タブを選択します。

  4. [アクセスアドバイザー] タブで、サービスにリンクされたロールの最新のアクティビティを確認します。

    注記

    Amazon DocumentDB が AWSServiceRoleForRDS ロールを使用しているかどうか不明な場合は、ロールを削除できます。サービスでロールが使用されている場合、削除は失敗し、ロールが使用されている リージョンが表示されます。ロールが使用されている場合は、ロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。

AWSServiceRoleForRDS ロールを削除する場合は、まずすべてのインスタンスとクラスターを削除する必要があります。インスタンスとクラスターを削除する方法については、次のトピックを参照してください。

Amazon DocumentDB サービスにリンクされたロールでサポートされているリージョン

Amazon DocumentDB ではサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされます。詳細については、「https://docs.aws.amazon.com/documentdb/latest/developerguide/regions-and-azs.html#regions-and-azs-availability」を参照してください。