Systems Manager のサービスにリンクされたロールの使用

AWS Systems Manager は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスリンクロールは、Systems Manager に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Systems Manager によって事前定義されており、サービスがユーザーに代わって他の AWS のサービス を呼び出すために必要なすべてのアクセス許可が含まれています。

注記

「サービスロール」のロールはサービスにリンクされたロールとは異なります。サービスロールは、サービスが AWS リソースにアクセスできる AWS のサービス ように にアクセス許可を付与する AWS Identity and Access Management (IAM) ロールの一種です。サービスロールを必要とする Systems Manager のシナリオはごくわずかです。Systems Manager のサービスロールを作成する場合は、他の AWS リソースにアクセスまたは通信するために付与するアクセス許可を選択します。

サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Systems Manager の設定が簡単になります。このサービスリンクロールのアクセス許可は Systems Manager で定義します。特に定義されている場合を除き、Systems Manager のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる権限の削除が防止され、Systems Manager リソースは保護されます。

注記

ハイブリッドおよびマルチクラウド環境内の非 EC2 ノードの場合、それらのマシンが Systems Manager サービスと通信できるようにする追加の IAM ロールが必要です。これは、Systems Manager の IAM サービスロールです。このロールは、 Systems Managerサービスへの AWS Security Token Service （AWS STS) AssumeRole信頼を付与します。AssumeRole アクションは、一時的なセキュリティ認証情報 (アクセスキー ID、シークレットアクセスキー、セキュリティトークンで構成) を返します。これらの一時的な認証情報を使用して、通常はアクセスできない AWS リソースにアクセスします。詳細については、 AWS Security Token Service API リファレンスの「ハイブリッド環境用の IAM サービスロールを作成する」およびAssumeRole「」を参照してください。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS のサービス」を参照し、「サービスにリンクされたロール」の列内で「はい」と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

トピック

• ロールを使用してインベントリの収集と OpsData の表示を行う
• ロールを使用して OpsCenterおよび の AWS アカウント 情報を収集する Explorer
• ロールを使用して、Explorer の OpsData および OpsItems を作成
• ロールを使用して Systems Manager OpsCenter で運用上のインサイト OpsItems を作成する