AWS Outpostsのサービスにリンクされたロールの使用 - AWS Outposts
AWS Outpostsのサービスリンクロールのアクセス許可AWS Outpostsのサービスリンクロールの作成AWS Outpostsのサービスにリンクされたロールの編集AWS Outpostsのサービスリンクロールの削除AWS Outposts のサービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS Outpostsのサービスにリンクされたロールの使用

AWS Outposts は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプのIAMロールです AWS Outposts。サービスにリンクされたロールは によって事前定義 AWS Outposts されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Outposts がより効率的になります。 は、サービスにリンクされたロールのアクセス許可 AWS Outposts を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け AWS Outposts ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスリンクロールは、関連する リソースを削除した後でしか削除できません。これにより、 AWS Outposts リソースにアクセスするためのアクセス許可を誤って削除することがないため、リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。 サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

AWS Outpostsのサービスリンクロールのアクセス許可

AWS Outposts は、AWSServiceRoleForOutposts_ という名前のサービスにリンクされたロールを使用します。OutpostID – Outposts がユーザーに代わってプライベート接続用の AWS リソースにアクセスできるようにします。このサービスにリンクされたロールにより、プライベート接続の構成が可能になり、ネットワークインターフェイスが作成され、サービス リンク エンドポイント インスタンスに接続されます。

AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • outposts.amazonaws.com

AWSServiceRoleForOutposts_OutpostID サービスにリンクされたロールには、次のポリシーが含まれます。

  • AWSOutpostsServiceRolePolicy

  • AWSOutpostsPrivateConnectivityPolicy_OutpostID

このAWSOutpostsServiceRolePolicyポリシーは、 によって管理される AWS リソースへのアクセスを有効にするサービスにリンクされたロールポリシーです AWS Outposts。

このポリシーにより AWS Outposts 、 は指定されたリソースに対して次のアクションを実行できます。

  • アクション: all AWS resources 上で ec2:DescribeNetworkInterfaces

  • アクション: all AWS resources 上で ec2:DescribeSecurityGroups

  • アクション: all AWS resources 上で ec2:CreateSecurityGroup

  • アクション: all AWS resources 上で ec2:CreateNetworkInterface

AWSOutpostsPrivateConnectivityPolicy_OutpostID ポリシーでは AWS Outposts 、 は指定されたリソースに対して次のアクションを実行できます。

  • アクション: all AWS resources that match the following Condition: 上で ec2:AuthorizeSecurityGroupIngress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • アクション: all AWS resources that match the following Condition: 上で ec2:AuthorizeSecurityGroupEgress

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • アクション: all AWS resources that match the following Condition: 上で ec2:CreateNetworkInterfacePermission

    { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

  • アクション: all AWS resources that match the following Condition: 上で ec2:CreateTags

    { "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

AWS Outpostsのサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。で Outpost のプライベート接続を設定すると AWS Management Console、 AWS Outposts によってサービスにリンクされたロールが作成されます。

詳細については、「を使用したサービスリンクのプライベート接続 VPC」を参照してください。

AWS Outpostsのサービスにリンクされたロールの編集

AWS Outposts では AWSServiceRoleForOutposts_ を編集できませんOutpostID サービスにリンクされたロール。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS Outpostsのサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに AWS Outposts サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

警告

AWSServiceRoleForOutposts_ を削除する前に Outpost を削除する必要がありますOutpostID サービスにリンクされたロール。次の手順で、Outpost を削除します。

開始する前に、 AWS Resource Access Manager () を使用して Outpost が共有されていないことを確認してくださいAWS RAM。詳細については、「共有 Outpost リソースの共有解除」を参照してください。

AWSServiceRoleForOutposts_ が使用する AWS Outposts リソースを削除するにはOutpostID

  • Outpost を削除するには、 AWS エンタープライズサポートにお問い合わせください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、 AWS CLI、または を使用して AWS API AWSServiceRoleForOutposts_ を削除します。OutpostID サービスにリンクされたロール。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS Outposts のサービスにリンクされたロールをサポートするリージョン

AWS Outposts は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「AWS Outposts エンドポイントとクォータ」を参照してください。