許可ロールの作成ロールの編集ロールの削除 Resource Groups のサービスにリンクされたロールをサポートするリージョン

Resource Groups でサービスにリンクされたロールの使用

AWS Resource Groups は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスリンクロールは、Resource Groups に直接リンクされているユニークなタイプの IAM ロールです。サービスにリンクされたロールは、Resource Groups によって事前定義されており、お客様の代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Resource Groups の設定が簡単になります。Resource Groups は、サービスにリンクされたロールのアクセス許可を定義し、Resource Groups サービスのみがそのロールを引き受けることができるようにする信頼ポリシーを設定します。定義されるアクセス権限には、信頼ポリシーやアクセス許可ポリシーなどがあり、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動する AWS サービス」を開き、サービスにリンクされたロールの列内で「はい」と表記されたサービスをご確認ください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Resource Groups のサービスにリンクされたロールにおけるアクセス許可

Resource Groups は、以下のサービスにリンクされたロールを使用して、グループライフサイクルイベントをサポートします。ロール名のリンクを選択すると、作成後に IAM コンソールにそのロールが表示されます。

AWSServiceRoleForResourceGroups

Resource Groups は、このロールにおけるアクセス許可を使用してユーザーのリソースを所有する AWS のサービスにクエリを送信します。これにより、グループメンバーシップを解決し、グループを最新の状態に保つことができます。また、Resource Groups サービス関連のイベントを Amazon EventBridge サービスに発行できます。

AWSServiceRoleForResourceGroups サービスにリンクされたロールはその引き受け時に、以下のサービスのみを信頼します。

resourcegroups.amazonaws.com

ロールにアタッチされたアクセス許可は、以下の AWS マネージドポリシーから取得されます。ポリシー名のリンクを選択すると、IAM コンソールにポリシーが表示されます。

AWS のマネージドポリシー AWS Resource Groups

Resource Groups 用のサービスにリンクされたロールの作成

重要

このサービスリンクロールは、このロールでサポートされている機能が必要な別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「AWS アカウントに新しいロールが表示される」を参照してください。

サービスにリンクされたロールを作成するには、グループライフサイクルイベント機能を有効にします。

Resource Groups のサービスにリンクされたロールの編集

Resource Groups では、AWSServiceRoleForResourceGroups のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Resource Groups のサービスにリンクされたロールの削除

グループライフサイクルイベント機能を無効にした後のみ、サービスにリンクされたロールを削除することができます。

重要

AWS では、サービスにリンクされたロールを作成したグループライフサイクルイベント機能を最初に無効にするまで、このロールは削除できません。
AWS アカウントにリソースグループがある限り、サービスにリンクされたロールを削除しないことをお勧めします。このロールを削除すると、Resource Groups サービスは他の AWS のサービスとやり取りしてグループを管理できなくなります。

サービスリンクロールを手動で削除する

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロールである AWSServiceRoleForResourceGroups を削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Console

Resource Groups のサービスにリンクされたロールを削除するには

ロールページへの IAM コンソールを開きます。
AWSServiceRoleForResourceGroups という名前のロールを探し、その横にあるチェックボックスを選択します。
[削除] をクリックします。
ボックスにロール名を入力して、ロールを削除するかどうかを確認し、[削除] を選択します。

IAM コンソールのロールのリストからロールが表示されなくなります。

AWS CLI

Resource Groups のサービスにリンクされたロールを削除するには

ロールを削除するには、表示されているとおりのパラメータで、次のコマンドを入力します。いずれの値も置換しないでください。


$ aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForResourceGroups
{
    "DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}

コマンドはタスク ID を返します。実際のロール削除は非同期的に行われます。提供されたタスク ID を以下の AWS CLI コマンドに渡すことで、ロールの削除のステータスを確認できます。


$ aws iam get-service-linked-role-deletion-status \
    --deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
    "Status": "SUCCEEDED"
}

Resource Groups のサービスにリンクされたロールをサポートするリージョン

Resource Groups は、そのサービスを利用できるすべての AWS リージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

AWS マネージドポリシー

アイデンティティベースポリシーの例