AWS Site-to-Site VPN サービスにリンクされたロール - AWS Site-to-Site VPN

AWS Site-to-Site VPN サービスにリンクされたロール

AWS Site-to-Site VPN は、ユーザーに代わって他の AWS のサービスを呼び出すために必要な許可を持つサービスにリンクされたロールを使用します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの使用」を参照してください。

サービスにリンクされたロールによって付与されるアクセス許可

証明書ベースの認証を使用する Site-to-Site VPN 接続を使用する場合、Site-to-Site VPN は AWSServiceRoleForVPCS2SVPN という名前のサービスにリンクされたロールを使用します。このサービスリンクロールは、マネージドポリシー AWSVPCS2SVpnServiceRolePolicy にアタッチされ、以下の AWS Certificate Manager (ACM) 許可を含みます。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "0", "Effect": "Allow", "Action": [ "acm:ExportCertificate", "acm:DescribeCertificate", "acm:ListCertificates", "acm-pca:DescribeCertificateAuthority" ], "Resource": "*" } ] }

サービスにリンクされたロールの作成

AWSServiceRoleForVPCS2SVPN ロールを手動で作成する必要はありません。関連付けられた ACM プライベート証明書を使用してカスタマーゲートウェイを作成すると、Site-to-Site VPN によってこのロールが作成されます。

Site-to-Site VPN ユーザーがお客様に代わってサービスにリンクされたロールを作成するには、必要なアクセス許可がお客様に付与されていなければなりません。サービスリンクロールの詳細については、『IAM ユーザーガイド』の「サービスリンクロールの許可」を参照してください。

サービスにリンクされたロールを編集する

IAM を使用して、AWSServiceRoleForVPCS2SVPN の説明を編集できます。サービスリンクロールの編集の詳細については、『IAM ユーザーガイド』の「サービスリンクロールの編集」を参照してください。

サービスにリンクされたロールを削除する

証明書ベースの認証で Site-to-Site VPN 接続を使用する必要がなくなった場合は、AWSServiceRoleForVPCS2SVPN を削除することをお勧めします。

このサービスにリンクされたロールは、関連付けられた ACM プライベート証明書を持つすべてのカスタマーゲートウェイを削除した後にのみ削除できます。これにより、Site-to-Site VPN 接続で使用されている ACM 証明書へのアクセス許可を誤って削除してしまうことがなくなります。

サービスにリンクされたロールは、IAM コンソール、IAM CLI、または IAM API を使用して削除することができます。サービスリンクロールの削除の詳細については、『IAM ユーザーガイド』の「サービスリンクロールの削除」を参照してください。

AWSServiceRoleForVPCS2SVPN を削除すると、Amazon VPC は、関連付けられた ACM プライベート証明書を使用して、カスタマーゲートウェイのロールを再び作成します。