Verified Access のサービスにリンクされたロールを使用する

AWS Verified Access は、サービスに直接リンクされた IAM ロールの一種である IAM AWS サービスにリンクされたロールを使用します。Verified Access のサービスにリンクされたロールは Verified Access によって定義され、サービスが AWS のサービス ユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可が含まれます。

サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Verified Access の設定が簡単になります。Verified Access は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Verified Access のみがそのロールを引き受けることができます。定義した許可には、トラスポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティに添付することはできません。

Verified Access のためのサービスにリンクされたロールの許可

Verified Access は、AWSServiceRoleForVPCVerifiedAccess という名前のサービスにリンクされたロールを使用して、サービスの使用に必要なリソースをアカウントにプロビジョニングします。

AWSServiceRoleForVPCVerifiedAccess サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

• verified-access.amazonaws.com

AWSVPCVerifiedAccessServiceRolePolicy という名前のロールのアクセス許可ポリシーでは、Verified Access は、指定されたリソースで次のアクションを完了することができます。

• アクション ec2:CreateNetworkInterface すべてのサブネット、セキュリティグループ、およびタグ VerifiedAccessManaged=true が付いたすべてのネットワークインターフェイスで

• アクション ec2:CreateTags 作成時のすべてのネットワークインターフェースで

• アクション ec2:DeleteNetworkInterface タグ VerifiedAccessManaged=true が付いたすべてのネットワークインターフェースで

• アクション ec2:ModifyNetworkInterfaceAttribute すべてのセキュリティグループ、およびタグ VerifiedAccessManaged=true が付いたすべてのネットワークインターフェースで

このポリシーのアクセス許可は、AWS 「 マネージドポリシーリファレンスガイド」でも確認できます。AWSVPCVerifiedAccessServiceRolePolicy」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

Verified Access のサービスにリンクされたロールを作成する

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは API で CreateVerifiedAccessEndpoint を AWS 呼び出すと、Verified Access によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。CreateVerifiedAccessEndpoint を再度呼び出すと、 によって、Verified Access によってサービスにリンクされたロールが再度作成されます。

Verified Access のサービスにリンクされたロールを編集する

Verified Access では、サービスにリンクされたロールである AWSServiceRoleForVPCVerifiedAccess を編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Verified Access のサービスにリンクされたロールを削除する

AWSServiceRoleForVPCVerifiedAccess ロールを手動で削除する必要はありません。 AWS Management Console、、または API で DeleteVerifiedAccessEndpoint を AWS 呼び出すと、Verified Access はリソースをクリーンアップし AWS CLI、サービスにリンクされたロールを削除します。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForVPCVerifiedAccess サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Verified Access サービスにリンクされたロールをサポートするリージョン

Verified Access は、サービスが利用可能なすべての AWS リージョン でサービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。