AWS Outposts のサービスにリンクされたロール - AWS Outposts

AWS Outposts のサービスにリンクされたロール

AWS Outposts は AWS Identity and Access Management (IAM) サービスリンクロールを使用します。サービスリンクロールはサービスロールの一種で、AWS Outposts に直接リンクされます。AWS Outposts は、サービスリンクロールを定義し、ユーザーに代わって他の AWS のサービスを呼び出すために必要なすべてのアクセス許可を含めます。

サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がないため、AWS Outposts の設定がより効率的になります。AWS Outposts は、このサービスにリンクされたロールの許可を定義し、他に定義されている場合を除き、AWS Outposts のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、関連する リソースを削除した後でしか削除できません。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、AWS Outposts リソースが保護されます。

AWS Outposts のサービスリンクロールのアクセス許可

AWS Outposts は AWSServiceRoleForOutPosts_OutPostId という名前のサービスにリンクされたロールを使用します。Outposts がユーザーに代わってプライベート接続の AWS リソースにアクセスすることを許可します。このサービスにリンクされたロールにより、プライベート接続の構成が可能になり、ネットワークインターフェイスが作成され、サービス リンク エンドポイント インスタンスに接続されます。

AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • outposts.amazonaws.com

AWSServiceRoleForOutPosts_OutPostID サービスにリンクされたロールには、以下のポリシーが含まれています。

  • AWSOutpostsServiceRolePolicy

  • AWSOutpostsPrivateConnectivityPolicy_OutpostID

AWSOutpostsServiceRolePolicy ポリシーは、AWS Outposts によって管理される AWS リソースへのアクセスを可能にするサービスにリンクされたロールポリシーです。

このポリシーは、特定のリソースに対して以下のアクションを実行することを AWS Outposts に許可します。

  • アクション: all AWS resources 上で ec2:DescribeNetworkInterfaces

  • アクション: all AWS resources 上で ec2:DescribeSecurityGroups

  • アクション: all AWS resources 上で ec2:CreateSecurityGroup

  • アクション: all AWS resources 上で ec2:CreateNetworkInterface

AWSOutpostsPrivateConnectivityPolicy_OutpostID ポリシーにより、AWS Outposts は指定されたリソースに対して次のアクションを実行できます。

  • アクション: all AWS resources that match the following Condition: 上で ec2:AuthorizeSecurityGroupIngress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
  • アクション: all AWS resources that match the following Condition: 上で ec2:AuthorizeSecurityGroupEgress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
  • アクション: all AWS resources that match the following Condition: 上で ec2:CreateNetworkInterfacePermission

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
  • アクション: ec2:CreateTags 上で all AWS resources that match the following Condition:

    { "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

AWS Outposts サービスにリンクされたロールを作成する

サービスリンクロールを手動で作成する必要はありません。AWS Management Console、AWS Outposts で Outpost のプライベート接続を構成すると、サービスにリンクされたロールが作成されます。

AWS Outposts のサービスにリンクされたロールの編集

AWS Outposts で、AWSServiceRoleForOutposts_OutpostID のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの更新」を参照してください。

AWS Outposts のサービスにリンクされたロールを削除する

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

リソースを削除する際に、AWS Outposts のサービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールを削除する前に、Outpost を削除する必要があります。

始める前に、Outpost が AWS Resource Access Manager (AWS RAM) を使用して共有されていないことを確認してください。詳細については、「共有 Outpost リソースの共有解除」を参照してください。

AWSServiceRoleForOutposts_OutpostID が使用する AWS Outposts リソースを削除するには

Outpost を削除するには、AWS Enterprise Support に連絡してください。

サービスにリンクされたロールを IAM で手動削除するには

詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS Outposts のサービスにリンクされたロールをサポートするリージョン

AWS Outposts では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「Outposts ラック」と「Outposts サーバー」の FAQ を参照してください。