WorkSpaces シンクライアントでサービスにリンクされたロールを使用する

Amazon WorkSpaces シンクライアントは AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、WorkSpaces シンクライアントに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは WorkSpaces シンクライアントによって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、WorkSpaces シンクライアントの設定が簡単になります。WorkSpaces シンクライアントは、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、WorkSpaces シンクライアントのみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可が誤って削除されないため、WorkSpaces シンクライアントリソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。

WorkSpaces シンクライアントのサービスにリンクされたロールのアクセス許可

WorkSpaces シンクライアントは、AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring という名前のサービスにリンクされたロールを使用します。このロールにより、Amazon WorkSpaces シンクライアントはユーザーに代わって CloudWatch にメトリクスを発行できます。

AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

• monitoring.thinclient.amazonaws.com

AmazonWorkSpacesThinClientServiceRolePolicy という名前のロールアクセス許可ポリシーにより、WorkSpaces シンクライアントは指定されたリソースに対して次のアクションを実行できます。

• アクション: Use cloudwatch:PutMetricData on CloudWatch metrics in the AWS/WorkSpacesThinClient and AWS/Usage namespaces

  注記

  サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「AWS 管理ポリシー: AmazonWorkSpacesThinClientFullAccess」を参照してください。

  次のアクセス許可が有効であることを確認します。

     {
        "Sid": "AllowCreateServiceLinkedRole",
        "Effect": "Allow",
        "Action": "iam:CreateServiceLinkedRole",
        "Resource": "arn:aws:iam::*:role/aws-service-role/monitoring.thinclient.amazonaws.com/AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring",
        "Condition": {
          "StringEquals": {
            "iam:AWSServiceName": "monitoring.thinclient.amazonaws.com"
          }
        }
      }

  詳細については、IAM ユーザーガイド の「サービスにリンクされたロールのアクセス許可」を参照してください。

WorkSpaces シンクライアントのサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。、 CLI AWS Management Console、または AWS API AWS で環境を作成すると、WorkSpaces シンクライアントはサービスにリンクされたロールが存在しない場合、自動的に作成します。

このサービスにリンクされたロールを削除し、再度作成する必要がある場合は、同じプロセスを使用できます。環境を作成すると、WorkSpaces シンクライアントは、サービスにリンクされたロールがアカウントに存在しない場合に、そのロールを作成します。

WorkSpaces シンクライアントのサービスにリンクされたロールの編集

WorkSpaces シンクライアントでは、AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring サービスにリンクされたロールを編集することはできません。さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

WorkSpaces シンクライアントのサービスにリンクされたロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

サービスリンク役割のクリーンアップ

AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring ロールを削除する前に、アカウント内のすべての WorkSpaces シンクライアント環境を削除する必要があります。「環境を削除する」の手順を参照してくださいhttps://docs.aws.amazon.com/workspaces-thin-client/latest/ag/deleting-an-environment.html。

注記

リソースを削除しようとしたときに WorkSpaces シンクライアントサービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

WorkSpaces シンクライアントサービスにリンクされたロールでサポートされているリージョン

WorkSpaces シンクライアントは、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。

WorkSpaces シンクライアントは、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForAmazonWorkSpacesThinClientMonitoring ロールは、次のリージョンで使用できます。

リージョン名	リージョン識別子	WorkSpaces シンクライアントでのサポート
米国東部 (バージニア北部)	us-east-1	あり
米国西部 (オレゴン)	us-west-2	はい
アジアパシフィック (ムンバイ)	ap-south-1	あり
カナダ (中部)	ca-central-1	はい
欧州 (フランクフルト)	eu-central-1	はい
欧州 (アイルランド)	eu-west-1	はい
欧州 (ロンドン)	eu-west-2	あり