Incident Manager のサービスリンクロールの使用 - Incident Manager
Incident Manager でのサービスにリンクされたロールのアクセス許可Incident Manager のサービスリンクロールの作成Incident Manager のサービスにリンクロールを編集するIncident Manager のサービスリンクロールの削除Incident Manager サービスリンクロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Incident Manager のサービスリンクロールの使用

AWS Systems Manager Incident Manager は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスリンクロールは、Incident Manager に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、Incident Manager によって事前定義されており、ユーザーの代わりにサービスから他の AWS サービスを呼び出す必要のあるアクセス許可がすべて含まれています。

サービスリンクロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Incident Manager の設定が簡単になります。Incident Manager は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Incident Manager のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースに対するアクセス許可が誤って削除されることがなくなり、Incident Manager のリソースは保護されます。

サービスリンクロールをサポートするその他のサービスについては、「IAM と連携するAWS サービス」を参照し、サービスリンクロール 列が はい になっているサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Incident Manager でのサービスにリンクされたロールのアクセス許可

インシデントマネージャーは、「AWSServiceRoleforIncidentManager—」というサービスにリンクされたロールを使用します。これにより、インシデントマネージャーはインシデントマネージャーのインシデントレコードと関連リソースをユーザーに代わって管理できます。

AWSServiceRoleforIncidentManager サービスにリンクされたロールは、以下のサービスを信頼してその役割を引き受けます。

  • ssm-incidents.amazonaws.com

AWSIncidentManagerServiceRolePolicyロール権限ポリシーにより、Incident Manager は指定されたリソースに対して以下のアクションを実行できます。

  • アクション: アクションに関連するすべてのリソース上のssm-incidents:ListIncidentRecords

  • アクション: アクションに関連するすべてのリソース上のssm-incidents:CreateTimelineEvent

  • アクション: アクションに関連するすべてのリソース上のssm:CreateOpsItem

  • アクション: all resources related to the action. 上で ssm:AssociateOpsItemRelatedItem

  • アクション: アクションに関連するすべてのリソース上のssm-contacts:StartEngagement

  • アクション:cloudwatch:PutMetricData CloudWatch AWS/IncidentManager名前空間内のメトリクスに対する

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「Service-Linked Role Permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

Incident Manager のサービスリンクロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS APIでレプリケーションセットを作成すると、Incident Manager はサービスリンクロールを作成します。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。レプリケーションセットを作成すると、Incident Manager がサービスリンクロールを再作成します。

Incident Manager のサービスにリンクロールを編集する

インシデントマネージャーでは、 AWSServiceRoleforIncidentManager サービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。

Incident Manager のサービスリンクロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

サービスリンクロールを削除するには、最初にレプリケーションセットを削除する必要があります。レプリケーションセットを削除すると、対応計画、連絡先、エスカレーションプランなど、Incident Manager で作成および保存されているすべてのデータが削除されます。また、以前に作成したインシデントもすべて失われます。 EventBridge 削除された対応計画を示すアラームやルールでは、アラームやルールが一致してもインシデントは作成されなくなります。複製セットを削除するには、セット内のすべてのリージョンを削除する必要があります。

注記

リソースを削除する際に、Incident Manager のサービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

が使用する複製セット内のリージョンを削除するには AWSServiceRoleforIncidentManager

  1. Incident Manager コンソール を開き、左のナビゲーションから [設定] を選択します。

  2. 複製セット内のリージョンを選択します

  3. [削除] を選択します。

  4. リージョンの削除を確認するには、リージョン名を入力して [削除] を選択します。

  5. レプリケーションセット内のすべてのリージョンを削除するまで、この手順を繰り返します。最後のリージョンを削除すると、コンソールは、そのリージョンとともにレプリケーションセットを削除することを通知します。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、 AWSServiceRoleforIncidentManager サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Incident Manager サービスリンクロールをサポートするリージョン

Incident Manager では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。