Amazon Q Developer でサービスリンクロールを使用する
Amazon Q Developer は、AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、Amazon Q Developer に直接リンクされた特殊なタイプの IAM ロールです。サービスリンクロールは、Amazon Q Developer で事前定義されています。このロールには、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要な、すべてのアクセス許可が付与されています。
サービスリンクロールを使用すると、必要な許可を手動で追加する必要がないため、Amazon Q Developer のセットアップが簡単になります。サービスリンクロールの許可は Amazon Q Developer が定義し、特に定義されない限り、Amazon Q Developer のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。リソースにアクセスするための許可を誤って削除できないため、これにより、 Amazon Q Developer リソースが保護されます。
サービスリンクロールをサポートする他のサービスについては、「IAM と連動する AWS のサービス」を参照し、[Service-linked role (サービスリンクロール)] の列内で [Yes (はい)] と表記されたサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。
Amazon Q Developer の AWS マネージドポリシー についてはこちら。
Amazon Q Developer のサービスリンクロールのアクセス許可
Amazon Q Developer は、AWSServiceRoleForAmazonQDeveloper という名前のサービスリンクロールを使用します。このロールは、アカウントのデータにアクセスして請求を計算するためのアクセス許可を Amazon Q に付与するほか、Amazon CodeGuru でセキュリティレポートを作成してそれにアクセスし、データを CloudWatch に出力するためのアクセス権を提供します。
AWSServiceRoleForAmazonQDeveloper サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
-
q.amazonaws.com
AWSServiceRoleForAmazonQDeveloper というロールのアクセス許可ポリシーでは、Amazon Q Developer は、指定されたリソースで次のアクションを実行できます。
-
アクション:
cloudwatch:PutMetricData。対象リソース:AWS/Q CloudWatch namespace
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールのアクセス許可」を参照してください。
Amazon Q Developer のサービスリンクロールを作成する
サービスリンクロールを手動で作成する必要はありません。AWS Management Consoleで Amazon Q のプロファイルを作成すると、Amazon Q Developer がユーザーに代わってサービスリンクロールを作成します。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。設定を更新すると、Amazon Q によって、サービスリンクロールが再度作成されます。
IAM コンソールまたは AWS CLI を使用して、q.amazonaws.com というサービス名でサービスリンクロールを作成できます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
Amazon Q Developer のサービスリンクロールを編集する
Amazon Q Developer では、AWSServiceRoleForAmazonQDeveloper サービスリンクロールを編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
Amazon Q Developer のサービスリンクロールを削除する
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除しようとしたときに Amazon Q Developer サービスでロールが使用されている場合は、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
IAM を使用してサービスリンクロールを手動で削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonQDeveloper サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
Amazon Q Developer サービスリンクロールがサポートされているリージョン
Amazon Q Developer は、サービスを利用できるすべてのリージョンで、サービスリンクロールの使用をサポートしているわけではありません。AWSServiceRoleForAmazonQDeveloper ロールは、以下のリージョンで使用できます。詳細については、「AWS リージョンとエンドポイント」を参照してください。
| リージョン名 | リージョン識別子 | Amazon Q Developer でのサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | いいえ |
| 米国西部 (北カリフォルニア) | us-west-1 | いいえ |
| 米国西部 (オレゴン) | us-west-2 | いいえ |
| アフリカ (ケープタウン) | af-south-1 | いいえ |
| アジアパシフィック (香港) | ap-east-1 | いいえ |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | いいえ |
| アジアパシフィック (ムンバイ) | ap-south-1 | いいえ |
| アジアパシフィック (大阪) | ap-northeast-3 | いいえ |
| アジアパシフィック (ソウル) | ap-northeast-2 | いいえ |
| アジアパシフィック (シンガポール) | ap-southeast-1 | いいえ |
| アジアパシフィック (シドニー) | ap-southeast-2 | いいえ |
| アジアパシフィック (東京) | ap-northeast-1 | いいえ |
| カナダ (中部) | ca-central-1 | いいえ |
| 欧州 (フランクフルト) | eu-central-1 | いいえ |
| 欧州 (アイルランド) | eu-west-1 | いいえ |
| 欧州 (ロンドン) | eu-west-2 | いいえ |
| 欧州 (ミラノ) | eu-south-1 | いいえ |
| 欧州 (パリ) | eu-west-3 | いいえ |
| 欧州 (ストックホルム) | eu-north-1 | いいえ |
| 中東 (バーレーン) | me-south-1 | いいえ |
| 中東 (アラブ首長国連邦) | me-central-1 | いいえ |
| 南米 (サンパウロ) | sa-east-1 | いいえ |
| AWS GovCloud (米国東部) | us-gov-east-1 | いいえ |
| AWS GovCloud (米国西部) | us-gov-west-1 | いいえ |
