AWS RAM のサービスにリンクされたロールの使用 - AWS Resource Access Manager
サービスにリンクされたロールのアクセス許可サービスにリンクされたロールの作成サービスにリンクされたロールの編集サービスにリンクされたロールの削除サポートされるリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

AWS RAM のサービスにリンクされたロールの使用

AWS Resource Access Manager は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、AWS RAM のサービスに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、AWS による事前定義済みのロールであり、ユーザーに代わって AWS RAM から AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がなくなるため、AWS RAM の設定が簡単になります。AWS RAM は、このサービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、AWS RAM のみがそのサービスにリンクされたロールを引き受けることができます。定義した許可には、信頼ポリシーと許可ポリシーの両方が含まれます。この許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照して、サービスにリンクされたロール列がはいになっているサービスを見つけてください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

AWS RAM のサービスにリンクされたロールのアクセス許可

AWS Organizations で共有を有効化すると、AWS RAM は AWSServiceRoleForResourceAccessManager という名前のサービスにリンクされたロールを使用します。このロールは、メンバーアカウントのリストや各アカウントが所属する組織単位など、組織の詳細を表示するアクセス許可を AWS RAM サービスに付与します。

このサービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • ram.amazonaws.com

アクセス許可ポリシー「AWSResourceAccessManagerServiceRolePolicy」がこのサービスにリンクされたロールにアタッチされ、AWS RAM は指定されたリソースで以下のアクションを完了できるようになります。

  • アクション: 組織構造の詳細を取得する読み取り専用アクション。アクションの完全なリストについては、IAM コンソールで AWSResourceAccessManagerServiceRolePolicy を参照してください。

プリンシパルが組織内での AWS RAM 共有を有効化するには、プリンシパル (ユーザー、グループ、ロールなどの IAM エンティティ) に、サービスにリンクされたロールを作成するためのアクセス許可が必要です。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

AWS RAM のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console で組織内での AWS RAM 共有を有効にするか、AWS CLI または AWS API を使用してアカウントで EnableSharingWithAwsOrganization を実行すると、AWS RAM はサービスにリンクされたロールを自動的に作成します。

このサービスにリンクされたロールを削除すると、組織構造の詳細を表示する AWS RAM の権限は失われます。

AWS RAM のサービスにリンクされたロールの編集

AWS RAM で、AWSResourceAccessManagerServiceRolePolicy のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS RAM のサービスにリンクされたロールの削除

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールを手動で削除できます。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSResourceAccessManagerServiceRolePolicy サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS RAM のサービスにリンクされたロールをサポートするリージョン

AWS RAM では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、AWS の「Amazon Web Services 全般のリファレンス のリージョンとエンドポイント」を参照してください。