Amazon WorkMail のサービスリンクロールの使用 - Amazon WorkMail
Amazon WorkMail のサービスリンクロール許可Amazon WorkMail のサービスリンクロールの作成Amazon WorkMail のサービスリンクロールの編集Amazon WorkMail のサービスリンクロールの削除Amazon WorkMail のサービスリンクロールがサポートされるリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon WorkMail のサービスリンクロールの使用

Amazon WorkMail は、AWS Identity and Access Management (IAM) サービスリンクロールを使用しています。サービスにリンクされたロールは、Amazon WorkMail に直接リンクされた特殊な IAM ロールです。サービスリンクロールは Amazon WorkMail によって事前に定義されており、サービスがユーザーに代わって AWS のその他サービスを呼び出すために必要なすべての許可が含まれています。

必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon WorkMail のセットアップを容易にします。サービスリンクロールの許可は Amazon WorkMail が定義し、別段の定義がない限り、Amazon WorkMail のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、関連する リソースを削除した後でしか削除できません。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon WorkMail リソースを保護します。

サービスリンクロールをサポートする他のサービスについては、IAM と連携する AWS のサービスサービスリンクロール列がはいになっているサービスを検索してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、リンクのある [Yes] (はい) をクリックします。

Amazon WorkMail のサービスリンクロール許可

Amazon WorkMail では、AmazonWorkMailEvents という名前のサービスリンクロールを使用します。Amazon WorkMail は、このサービスリンクロールを使用して、CloudWatch によってログ記録された E メールイベントのモニタリングなど、Amazon WorkMail イベントによって使用または管理される AWS のサービスとリソースにアクセスできます。Amazon WorkMail の E メールのイベントのログ記録の有効化の詳細については、E メールイベントロギングを有効にする を参照してください。

AmazonWorkMailEvents サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • events.workmail.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon WorkMail に許可します。

  • アクション: all AWS resources 上の logs:CreateLogGroup

  • アクション: all AWS resources 上で logs:CreateLogStream

  • アクション: logs:PutLogEvents 上で all AWS resources

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイドサービスにリンクされたロールのアクセス許可を参照してください。

Amazon WorkMail のサービスリンクロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。Amazon WorkMail イベントログを有効にして Amazon WorkMail コンソールでデフォルト設定を使用すると、Amazon WorkMail によってサービスリンクロールが作成されます。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Amazon WorkMail イベントログを有効にしてデフォルト設定を使用すると、Amazon WorkMail によってサービスリンクロールが作成されます。

Amazon WorkMail のサービスリンクロールの編集

Amazon WorkMail では、AmazonWorkMailEvents サービスリンクロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドサービスにリンクされたロールの編集を参照してください。

Amazon WorkMail のサービスリンクロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしているときに Amazon WorkMail サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AmazonWorkMailEvents によって使用されている Amazon WorkMail リソースを削除するには

  1. Amazon WorkMail イベントのログ記録を無効にします。

    1. Amazon WorkMail コンソール (https://console.aws.amazon.com/workmail/) を開きます。

      必要に応じて AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、[リージョンを選択] リストを開き、リージョンを選択します。詳細については、「Amazon Web Services 全般のリファレンス」の「 のリージョンとエンドポイント」を参照してください。

    2. ナビゲーションペインで [組織] を選択し、組織の名前を選択します。

    3. ナビゲーションペインで、[組織の設定][モニタリング] の順に選択します。

    4. [ログ設定] で、[編集] を選択します。

    5. メールイベントを有効化スライダーをオフの位置に移動します。

    6. [保存] を選択します。

  2. Amazon CloudWatch ロググループを削除します。

    1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

    2. [Logs] (ログ) を選択します。

    3. [Log Groups] (ロググループ) で、削除するロググループを選択します。

    4. [Actions] (アクション) で、[Delete log group] (ロググループを削除する) を選択します。

    5. [Yes, Delete] (はい、削除します) を選択します。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AmazonWorkMailEvents サービスリンクロールを削除します。詳細については、IAM ユーザーガイドサービスにリンクされたロールの削除を参照してください。

Amazon WorkMail のサービスリンクロールがサポートされるリージョン

Amazon WorkMail は、このサービスを利用できるすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、Amazon WorkMail リージョンとエンドポイントを参照してください。