AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用 - AWS Identity and Access Management
AWS Identity and Access Management Access Analyzer のサービスリンクロールのアクセス許可IAM Access Analyzer のサービスリンクロールの作成IAM Access Analyzer のサービスリンクロールの編集IAM Access Analyzer のサービスリンクロールの削除IAM Access Analyzer サービスリンクロールをサポートするリージョン

AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用

AWS Identity and Access Management Access Analyzer は IAM サービスにリンクされたロールを使用します。サービスリンクロールは、IAM Access Analyzer に直接リンクされた特殊なタイプの IAM ロールです。サービスリンクロールは、IAM Access Analyzer によって事前定義されており、ユーザーの代わりに機能が他の AWS サービスを呼び出す必要のあるアクセス許可がすべて含まれています。

サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、IAM Access Analyzer の設定が簡単になります。IAM Access Analyzer は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、IAM Access Analyzer のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照して、[Service-Linked Role] (サービスリンクロール) 列が [Yes] (はい) になっているサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。

AWS Identity and Access Management Access Analyzer のサービスリンクロールのアクセス許可

AWS Identity and Access Management Access Analyzer は、AWSServiceRoleForAccessAnalyzer という名前のサービスリンクロールを使用します。これにより、Access Analyzer が外部アクセスのリソースメタデータを分析したり、アクティビティを分析して未使用のアクセスを特定したりできます。 

サービスにリンクされたロール AWSServiceRoleForAccessAnalyzer は、以下のサービスを信頼してロールを引き受けます。

  • access-analyzer.amazonaws.com

AccessAnalyzerServiceRolePolicy という名前のロールアクセス許可ポリシーを使用すると、IAM Access Analyzer は特定のリソースに対するアクションを完了できます。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。

IAM Access Analyzer のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS Management Consoleまたは AWS API で Access Analyzer を有効にすると、IAM Access Analyzer によって、サービスリンクロールが作成されます。IAM Access Analyzer を有効にしたすべてのリージョンで、同じサービスにリンクされたロールが使用されます。外部アクセスと未使用のアクセスの両方の検出結果で、同じサービスリンクロールが使用されます。

注記

IAM Access Analyzer はリージョンに基づきます。IAM Access Analyzer は、各リージョンで個別に有効にする必要があります。

このサービスにリンクされたロールを削除すると、次回のアナライザーの作成時に、このロールが IAM Access Analyzer によって再作成されます。

Access Analyzer ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用します。AWS CLI または AWS API では、access-analyzer.amazonaws.com サービス名を使用してサービスにリンクされたロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

IAM Access Analyzer のサービスリンクロールの編集

IAM Access Analyzer では、AWSServiceRoleForAccessAnalyzer サービスリンクロールを編集できません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

IAM Access Analyzer のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、IAM Access Analyzer でロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForAccessAnalyzer によって使用されている IAM Access Analyzer リソースを削除する方法

  1. IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. [Access reports (アクセスレポート)] セクションの [Access analyzer (アクセスアナライザー)] で、[Analyzer (アナライザー)] を選択します。

  3. [Analyzers (アナライザー)] テーブルのアナライザーのリストの上にある左上のチェックボックスを選択して、すべてのアナライザーを選択します。

  4. [削除] を選択します。

  5. アナライザーを削除することを確定するには、「delete」と入力し、[Delete (削除)] を選択します。

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロール AWSServiceRoleForAccessAnalyzer を削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

IAM Access Analyzer サービスリンクロールをサポートするリージョン

IAM Access Analyzer では、このサービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。