Firewall Manager のサービスにリンクされたロールの使用

AWS Firewall Manager は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Firewall Manager に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Firewall Manager によって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Firewall Manager の設定が簡単になります。Firewall Manager は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、Firewall Manager のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除するには、まずそのロールの関連リソースを削除します。これにより、リソースに対する許可が誤って削除されることがなくなり、Firewall Manager のリソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS のサービス」を参照し、[Service-Linked Role] (サービスにリンクされたロール) 列で [Yes] (はい) のあるサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

Firewall Manager でのサービスにリンクされたロールの許可

AWS Firewall Manager は、サービスにリンクされたロール名 AWSServiceRoleForFMS を使用して、Firewall Manager がユーザーに代わって AWS サービスを呼び出し、ファイアウォールポリシーと AWS Organizations アカウントリソースを管理できるようにします。このポリシーは、 AWS マネージドロール にアタッチされますAWSServiceRoleForFMS。マネージドロールの詳細については、「AWS マネージドポリシー: FMSServiceRolePolicy」を参照してください。

AWSServiceRoleForFMS サービスにリンクされたロールは、サービスを信頼してロール を引き受けますfms.amazonaws.com。

ロールの許可ポリシーは、指定したリソースに対して以下のアクションを完了することを Firewall Manager に許可します。

• waf - アカウントの AWS WAF Classic ウェブ ACLsルールグループのアクセス許可、およびウェブ ACLs関連付けを管理します。

• ec2 – Elastic Network Interface と Amazon EC2 インスタンスで、セキュリティグループを管理します。Amazon VPC ACLs を管理します。

• vpc – Amazon VPC 内のサブネット、ルートテーブル、タグ、エンドポイントを管理します。

• wafv2 - アカウントの AWS WAF ウェブ ACLs、ルールグループのアクセス許可、およびウェブ ACLs関連付けを管理します。

• cloudfront - CloudFront ディストリビューションを保護するためACLs を作成します。

• config - アカウントで Firewall Manager が所有する AWS Config ルールを管理します。

• iam - このサービスにリンクされたロールを管理し、 および Shield AWS WAF ポリシーのログ記録を設定する場合は、必要な AWS WAF および Shield サービスにリンクされたロールを作成します。

• organization - Firewall Manager が所有するサービスにリンクされたロールを作成して、Firewall Manager が使用する AWS Organizations リソースを管理します。

• shield - アカウント内のリソース AWS Shield の保護と L7 緩和設定を管理します。

• ram - DNS Firewall ルールグループと Network Firewall ルールグループの AWS RAM リソース共有を管理します。

• network-firewall - アカウント内の Firewall Manager が所有する AWS Network Firewall リソースと依存する Amazon VPC リソースを管理します。

• route53resolver – アカウント内で、Firewall Manager が所有する DNS Firewall の関連付けを管理します。

IAM コンソールでポリシーの全文を参照してください: FMS ServiceRolePolicy。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

Firewall Manager のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。で Firewall Manager のログ記録を有効にするか AWS Management Console、Firewall Manager CLI または Firewall Manager API でPutLoggingConfigurationリクエストを行うと、Firewall Manager によってサービスにリンクされたロールが作成されます。

ログ記録を有効化するためには、iam:CreateServiceLinkedRole 許可が必要です。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Firewall Manager ログ記録を有効にすると、Firewall Manager は、ユーザーのためにサービスにリンクされたロールを再作成します。

Firewall Manager のサービスにリンクされたロールの編集

Firewall Manager では、 AWSServiceRoleForFMS サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Firewall Manager のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Firewall Manager のサービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

IAM を使用して、サービスにリンクされたロールを削除するには

IAM コンソール、IAM CLI、または IAM API を使用して、サービスにリンクされたロールを削除します AWSServiceRoleForFMS。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Firewall Manager サービスにリンクされたロールをサポートするリージョン

Firewall Manager では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「Firewall Manager エンドポイントとクォータ」を参照してください。