ロールを使用して OpsCenterおよび の AWS アカウント 情報を収集する Explorer - AWS Systems Manager
Systems Manager アカウント検出のためのサービスにリンクされたロールの許可Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの作成Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの編集Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールの削除Systems ManagerAWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールをサポートするリージョン AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの更新

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

ロールを使用して OpsCenterおよび の AWS アカウント 情報を収集する Explorer

Systems Manager は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForAmazonSSM_AccountDiscovery。 はこの IAM サービスロール AWS Systems Manager を使用して、 AWS アカウント 情報を検出するために他の AWS のサービス を呼び出します。

Systems Manager アカウント検出のためのサービスにリンクされたロールの許可

AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • accountdiscovery.ssm.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。

  • organizations:DescribeAccount

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListDelegatedServicesForAccount

  • organizations:ListDelegatedAdministrators

  • organizations:ListRoots

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイド の「サービスリンクロールの権限」を参照してください。

Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの作成

Systems Manager の機能である Explorer および OpsCenter を複数の AWS アカウントで使用する場合は、サービスにリンクされたロールを作成する必要があります。OpsCenter では、サービスにリンクされたロールを手作業で作成する必要があります。詳細については、「(オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する」を参照してください。

Explorer では、 AWS Management Console で Systems Manager を使用してリソースデータ同期を作成する場合、[Create role] (ロールの作成) ボタンを選択して、サービスにリンクされたロールを作成できます。リソースデータの同期をプログラムで作成する場合は、リソースデータの同期を作成する前に、ロールを作成する必要があります。CreateServiceLinkedRole API オペレーションを使用してロールを作成できます。

Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの編集

Systems Manager では、AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。

Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。

AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールのクリーンアップ

IAM を使用して AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールを削除するには、最初に、Explorer リソースデータ同期をすべて削除する必要があります。詳細については、「Systems Manager Explorer のリソースデータ同期を削除する」を参照してください。

注記

リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールを手動で削除する

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForAmazonSSM_AccountDiscoveryサービスにリンクされたロールを削除します。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの削除」を参照してください。

Systems ManagerAWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールをサポートするリージョン

Systems Manager は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS Systems Manager エンドポイントとクォータ」を参照してください。

AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの更新

AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知については、[Systems Manager ドキュメント履歴] ページの RSS フィードを購読してください。

変更 説明 日付

新しいアクセス許可の追加

このサービスにリンクされたロールに、organizations:DescribeOrganizationalUnit および organizations:ListRoots のアクセス許可が含まれるようになりました。これらのアクセス許可により、 AWS Organizations 管理アカウントまたは Systems Manager の委任された管理者アカウントは、アカウントOpsItems間で を操作できます。詳細については、「(オプション)OpsCenter を設定して、複数のアカウント間で OpsItems を一元管理する」を参照してください。

 2022 年 10 月 17 日