AWS Fault Injection Service のサービスにリンクされたロールを使用する - AWS フォールトインジェクションサービス
のサービスにリンクされたロールのアクセス許可 AWS FISのサービスにリンクされたロールを作成する AWS FISのサービスにリンクされたロールを編集する AWS FISのサービスにリンクされたロールを削除する AWS FISAWS FIS のサービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Fault Injection Service のサービスにリンクされたロールを使用する

AWS Fault Injection Service は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプのIAMロールです AWS FIS。サービスにリンクされたロールは、 によって事前定義 AWS FISされており、ユーザーに代わってサービスから他の の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、実験のモニタリングとリソースの選択を管理するために必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS FISが簡単になります。 AWS FIS は、サービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、 のみが AWS FISそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスにリンクされたロールに加えて、実験テンプレートでターゲットとして指定したリソースを変更するアクセス許可を付与する IAMロールも指定する必要があります。詳細については、「AWS FIS 実験用の IAM ロール」を参照してください。

サービスリンクロールは、関連する リソースを削除した後でしか削除できません。これにより、リソースへのアクセス許可を AWS FIS誤って削除することがなくなるため、リソースが保護されます。

のサービスにリンクされたロールのアクセス許可 AWS FIS

AWS FIS は、 という名前のサービスにリンクされたロールAWSServiceRoleForFISを使用して、実験のモニタリングとリソース選択を管理できるようにします。

AWSServiceRoleForFIS サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • fis.amazonaws.com

AWSServiceRoleForFIS サービスにリンクされたロールは、 マネージドポリシー A mazonFISServiceRolePolicyを使用します。このポリシーにより、 AWS FIS は実験のモニタリングとリソース選択を管理できます。詳細については、「 マネージドポリシーリファレンスmazonFISServiceRolePolicy」の「A」を参照してください。 AWS

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。AWSServiceRoleForFIS サービスにリンクされたロールを正常に作成するには、 で使用する IAM AWS FIS ID に必要なアクセス許可が必要です。必要なアクセス許可を付与するには、次のポリシーを IAM ID にアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "fis.amazonaws.com"
                }
            }
        }
    ]
}

詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。

のサービスにリンクされたロールを作成する AWS FIS

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは で実験を開始する AWS FISと AWS API、 AWS FIS によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。実験を開始すると AWS FIS、 によってサービスにリンクされたロールが再度 AWS FIS作成されます。

のサービスにリンクされたロールを編集する AWS FIS

AWS FIS では、AWSServiceRoleForFISサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

のサービスにリンクされたロールを削除する AWS FIS

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを AWS FISクリーンアップしようとしたときにサービスがロールを使用している場合、クリーンアップが失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

が使用するリソースをクリーンアップ AWS FISするには AWSServiceRoleForFIS

どの実験も現在実行されていないことを確認してください。必要に応じて、実験を中止してください。詳細については、「実験を中止する」を参照してください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForFISサービスにリンクされたロールを削除します。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。

AWS FIS のサービスにリンクされたロールをサポートするリージョン

AWS FIS は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、 「AWS Fault Injection Service エンドポイントとクォータ」を参照してください。