ARC の準備状況チェックにサービスにリンクされたロールを使用する

Amazon Application Recovery Controller は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、サービスに直接リンクされた一意のタイプの IAM ロールです。この場合は ARC です。サービスにリンクされたロールは ARC によって事前定義されており、特定の目的でサービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、ARC の設定が簡単になります。ARC は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、ARC のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースにアクセスするためのアクセス許可を誤って削除できないため、ARC リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、はいリンクを選択します。

ARC には、この章で説明されている以下のサービスにリンクされたロールがあります。

• ARC は RouteRoute53RecoveryReadinessServiceRolePolicyという名前のサービスにリンクされたロールを使用して、準備状況をチェックするためのリソースと設定にアクセスします。

• ARC は、オートシフト練習実行に という名前のサービスにリンクされたロールを使用して、お客様が提供する Amazon CloudWatch アラームとお客様 AWS Health Dashboard イベントをモニタリングし、練習実行を開始します。

Route53RecoveryReadinessServiceRolePolicy のサービスリンクロールアクセス許可

ARC は RouteRoute53RecoveryReadinessServiceRolePolicyという名前のサービスリンクロールを使用して、準備状況をチェックするためのリソースと設定にアクセスします。このセクションでは、サービスリンクロールのアクセス許可と、ロールの作成、編集、および削除に関して説明します。

Route53RecoveryReadinessServiceRolePolicy のサービスリンクロールアクセス許可

このサービスリンクロールは、マネージドポリシーである Route53RecoveryReadinessServiceRolePolicy を使用します。

Route53RecoveryReadinessServiceRolePolicy サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。

• route53-recovery-readiness.amazonaws.com

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンス」のRoute53RecoveryReadinessServiceRolePolicy」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

ARC の Route53RecoveryReadinessServiceRolePolicy サービスにリンクされたロールの作成

Route53RecoveryReadinessServiceRolePolicy サービスリンクロールを手動で作成する必要はありません。、、または AWS API で最初の準備状況チェック AWS Management Console AWS CLIまたはクロスアカウント認可を作成すると、ARC によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。最初の準備状況チェックまたはクロスアカウント認可を作成すると、ARC はサービスにリンクされたロールを再度作成します。

ARC の Route53RecoveryReadinessServiceRolePolicy サービスにリンクされたロールの編集

ARC では、Route53RecoveryReadinessServiceRolePolicy サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、他のエンティティがロールを参照する可能性があるため、ロールの名前を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

ARC の Route53RecoveryReadinessServiceRolePolicy サービスにリンクされたロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

準備状況チェックとクロスアカウント承認を削除した後、Route53RecoveryReadinessServiceRolePolicy サービスリンクロールを削除できます。準備状況チェックの詳細については、「ARC での準備状況チェック」を参照してください。クロスアカウント認証の詳細については、「ARC でのクロスアカウント認可の作成」を参照してください。

注記

リソースを削除しようとしたときに ARC サービスがロールを使用している場合、サービスロールの削除が失敗する可能性があります。失敗した場合は、数分待ってからロールの削除をもう一度試してください。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、Route53RecoveryReadinessServiceRolePolicy サービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

準備状況チェックのための ARC サービスにリンクされたロールの更新

ARC サービスにリンクされたロールの AWS マネージドポリシーの更新については、ARC の AWS マネージドポリシーの更新表を参照してください。ARC ドキュメント履歴ページで自動 RSS アラートをサブスクライブすることもできます。