翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
ネットワークでのロールの使用
AWS App Runner は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、App Runner に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは App Runner によって事前定義されており、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、App Runner の設定が簡単になります。App Runner は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、App Runner のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースにアクセスするためのアクセス許可を誤って削除することがないため、App Runner リソースが保護されます。
サービスリンクロールをサポートする他のサービスについては、「IAM と連携するAWS のサービス」を参照して、[サービスリンクロール] 列が [はい] のサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。
App Runner のサービスにリンクされたロールのアクセス許可
App Runner は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForAppRunnerNetworking。
このロールにより、App Runner は次のタスクを実行できます。
-
VPC を App Runner サービスにアタッチし、ネットワークインターフェイスを管理します。
AWSServiceRoleForAppRunnerNetworking サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
networking.apprunner.amazonaws.com
という名前のロール許可ポリシー AppRunnerNetworkingServiceRolePolicy には、App Runner がユーザーに代わってアクションを実行するために必要なすべての許可が含まれています。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeNetworkInterfaces", "ec2:DescribeVpcs", "ec2:DescribeDhcpOptions", "ec2:DescribeSubnets", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateNetworkInterface", "Resource": "*", "Condition": { "ForAllValues:StringEquals": { "aws:TagKeys": [ "AWSAppRunnerManaged" ] } } }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": "arn:aws:ec2:*:*:network-interface/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "StringLike": { "aws:RequestTag/AWSAppRunnerManaged": "*" } } }, { "Effect": "Allow", "Action": "ec2:DeleteNetworkInterface", "Resource": "*", "Condition": { "Null": { "ec2:ResourceTag/AWSAppRunnerManaged": "false" } } } ] }
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロール権限」を参照してください。
App Runner のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API で VPC コネクタを作成すると、App Runner によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。VPC コネクタ を作成すると、App Runner によってサービスにリンクされたロールが再度作成されます。
App Runner のサービスにリンクされたロールの編集
App Runner では、 AWSServiceRoleForAppRunnerNetworking サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
App Runner のサービスにリンクされたロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。
サービスにリンクされたロールのクリーンアップ
IAM を使用してサービスリンクロールを削除するには、最初に、そのロールで使用されているリソースをすべて削除する必要があります。
App Runner では、これは、アカウント内のすべての App Runner サービスから VPC コネクタの関連付けを解除し、VPC コネクタを削除することを意味します。詳細については、「送信トラフィックの VPC アクセスの有効化 」を参照してください。
注記
リソースを削除しようとしたときに App Runner サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
サービスリンクロールを手動で削除する
IAM コンソール、、または AWS API を使用して AWS CLI、 AWSServiceRoleForAppRunnerNetworking サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。
App Runner サービスにリンクされたロールでサポートされているリージョン
App Runner は、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS 全般のリファレンス」の「AWS App Runner エンドポイントとクォータ」を参照してください。