AWS Outpostsのサービスにリンクされたロールの使用 - AWS Outposts

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Outpostsのサービスにリンクされたロールの使用

AWS Outposts は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールです AWS Outposts。サービスにリンクされたロールは、 によって事前定義 AWS Outposts されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Outposts がより効率的になります。 は、サービスにリンクされたロールのアクセス許可 AWS Outposts を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Outposts ることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティに添付することはできません。

サービスにリンクされたロールを削除するには、まずその関連リソースを削除します。これにより、 AWS Outposts リソースにアクセスするためのアクセス許可を誤って削除することがないため、リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、IAM と連携するAWS のサービスを参照して、Service-Linked Role] (サービスにリンクされたロール)列で Yes] (はい) のあるサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。

AWS Outpostsのサービスリンクロールのアクセス許可

AWS Outposts は、AWSServiceRoleForOutposts_OutpostID という名前のサービスにリンクされたロールを使用します。これにより、Outposts がユーザーに代わってプライベート接続用の AWS リソースにアクセスできるようになります。このサービスにリンクされたロールにより、プライベート接続の構成が可能になり、ネットワークインターフェイスが作成され、サービス リンク エンドポイント インスタンスに接続されます。

AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • outposts.amazonaws.com

AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールには、次のポリシーが含まれます。

  • AWSOutpostsServiceRolePolicy

  • AWSOutpostsPrivateConnectivityPolicy_OutpostID

AWSOutpostsServiceRolePolicy ポリシーは、 によって管理される AWS リソースへのアクセスを有効にするサービスにリンクされたロールポリシーです AWS Outposts。

このポリシーにより AWS Outposts 、 は指定されたリソースに対して次のアクションを実行できます。

  • アクション: all AWS resources 上で ec2:DescribeNetworkInterfaces

  • アクション: all AWS resources 上で ec2:DescribeSecurityGroups

  • アクション: all AWS resources 上で ec2:CreateSecurityGroup

  • アクション: all AWS resources 上で ec2:CreateNetworkInterface

AWSOutpostsPrivateConnectivityPolicy_OutpostID ポリシーは AWS Outposts 、 が指定されたリソースに対して次のアクションを実行できるようにします。

  • アクション: all AWS resources that match the following Condition: 上で ec2:AuthorizeSecurityGroupIngress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
  • アクション: all AWS resources that match the following Condition: 上で ec2:AuthorizeSecurityGroupEgress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
  • アクション: all AWS resources that match the following Condition: 上で ec2:CreateNetworkInterfacePermission

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
  • アクション: ec2:CreateTags 上で all AWS resources that match the following Condition:

    { "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、IAM ユーザーガイドサービスにリンクされたロールの許可を参照してください。

AWS Outpostsのサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。で Outpost のプライベート接続を設定すると AWS Management Console、 AWS Outposts によってサービスにリンクされたロールが作成されます。

AWS Outpostsのサービスにリンクされたロールの編集

AWS Outposts では、 AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS Outpostsのサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに AWS Outposts サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

警告

AWSServiceRoleForOutposts_OutpostID を削除する必要があります。次の手順で、Outpost を削除します。

開始する前に、 AWS Resource Access Manager () を使用して Outpost が共有されていないことを確認してくださいAWS RAM。詳細については、「共有 Outpost リソースの共有解除」を参照してください。

AWSServiceRoleForOutposts_OutpostID が使用する AWS Outposts リソースを削除するには
  • Outpost を削除するには、 AWS エンタープライズサポートにお問い合わせください。

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、、または AWS API を使用して AWS CLI、 AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS Outposts のサービスにリンクされたロールをサポートするリージョン

AWS Outposts は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「AWS Outposts エンドポイントとクォータ」を参照してください。