ロールを使用してインベントリの収集と OpsData の表示を行う - AWS Systems Manager
インベントリ、OpsData、OpsItems のサービスにリンクされたロールアクセス権限Systems Manager の AWSServiceRoleForAmazonSSM のサービスにリンクされたロールの作成Systems Manager の AWSServiceRoleForAmazonSSM のサービスにリンクされたロールの編集Systems Manager の AWSServiceRoleForAmazonSSM サービスにリンクされたロールの削除Systems ManagerAWSServiceRoleForAmazonSSM サービスにリンクされたロールをサポートするリージョン

ロールを使用してインベントリの収集と OpsData の表示を行う

Systems Manager は、AWSServiceRoleForAmazonSSM と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、このIAM サービスロールを使用して、ユーザーに代わって AWS リソースを管理します。

インベントリ、OpsData、OpsItems のサービスにリンクされたロールアクセス権限

AWSServiceRoleForAmazonSSM サービスにリンクされたロールは、このロールを引き受ける上で ssm.amazonaws.com のみを信頼します。

Systems Manager のサービスリンクロールの AWSServiceRoleForAmazonSSM は、次の目的で使用することができます。

  • Systems Manager Inventory 機能は、サービスリンクロールの AWSServiceRoleForAmazonSSM を使用して、インベントリのメタデータをタグおよびリソースグループから収集します。

  • Explorer 機能は、サービスリンクロールの AWSServiceRoleForAmazonSSM を使用して、複数のアカウントから OpsData および OpsItems を表示できるようにします。また、このサービスにリンクされたロールでは、Explorer または OpsCenter からデータソースとして Security Hub を有効にすると、Explorer がマネージドルールを作成できます。

重要

以前は、Systems Manager コンソールが、AWS マネージド IAM サービスリンクロール AWSServiceRoleForAmazonSSM を選択して、タスクのメンテナンスロールとして使用する機能を提供していました。メンテナンスウィンドウのタスクにおける、このロールとそれに関連するポリシーである AmazonSSMServiceRolePolicy の使用は推奨されなくなりました。このロールをメンテナンスウィンドウのタスクに使用している場合は、使用を中止することをお勧めします。代わりに、メンテナンスウィンドウのタスクが実行されたときに、Systems Manager と他の AWS のサービス間の通信を可能にする独自の IAM ロールを作成します。

詳細については、「Maintenance Windows を設定する」を参照してください。

AWSServiceRoleForAmazonSSM ロールのアクセス許可を提供するために使用される管理ポリシーは、AmazonSSMServiceRolePolicy です。付与されるアクセス許可の詳細については、「AWS 管理ポリシー: AmazonSSMServiceRolePolicy」を参照してください。

Systems Manager の AWSServiceRoleForAmazonSSM のサービスにリンクされたロールの作成

EC2 ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用できます。IAM のコマンドを AWS Command Line Interface (AWS CLI) で使用するか、IAM API を使用して、ssm.amazonaws.com サービス名でサービスにリンクされたロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。

Systems Manager の AWSServiceRoleForAmazonSSM のサービスにリンクされたロールの編集

Systems Manager では、AWSServiceRoleForAmazonSSM のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Systems Manager の AWSServiceRoleForAmazonSSM サービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。サービスにリンクされたロールは、IAM コンソール、AWS CLI、または IAM API を使用して手動で削除することができます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。

AWSServiceRoleForAmazonSSM のサービスにリンクされたロールは複数の機能で使用されていることがあるため、削除する前に、そのロールが使用されていないことを確認してください。

  • インベントリ: インベントリ機能で使用される、サービスにリンクされたロールを削除すると、タグとリソースグループのインベントリデータは同期されなくなります。手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

  • Explorer: Explorer 機能で使用されるサービスにリンクされたロールを削除すると、クロスアカウント、クロスリージョン OpsData および OpsItems は表示できなくなります。

注記

タグまたはリソースグループを削除する際に、Systems Manager サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForAmazonSSM で使用されている Systems Manager リソースを削除するには

  1. タグを削除するには、「個々のリソースでのタグの追加と削除」を参照してください。

  2. リソースグループを削除するには、「AWS Resource Groups からのグループの削除」を参照してください。

IAM を使用して AWSServiceRoleForAmazonSSM サービスリンクロールを手動で削除するには

AWSServiceRoleForAmazonSSM サービスにリンクされたロールを削除するには、IAM コンソール、AWS CLI、または IAM API を使用します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

Systems ManagerAWSServiceRoleForAmazonSSM サービスにリンクされたロールをサポートするリージョン

Systems Manager では、このサービスが利用可能なすべての AWS リージョン で、AWSServiceRoleForAmazonSSM サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS Systems Manager エンドポイントとクォータ」を参照してください。