のサービスにリンクされたロールのアクセス許可 AWS Audit Manager AWS Audit Manager サービスにリンクされたロールの作成 AWS Audit Manager サービスにリンクされたロールの編集 AWS Audit Manager サービスにリンクされたロールの削除 AWS Audit Manager サービスにリンクされたロールでサポートされているリージョン

のサービスにリンクされたロールの使用 AWS Audit Manager

AWS Audit Manager は AWS Identity and Access Management （IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Audit Manager に直接リンクされる一意のタイプのIAMロールです。サービスにリンクされたロールは Audit Manager によって事前定義されており、ユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、設定 AWS Audit Manager が簡単になります。Audit Manager は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、Audit Manager のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「と連携するサービスIAM」を参照してください。また、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

のサービスにリンクされたロールのアクセス許可 AWS Audit Manager

Audit Manager は、という名前のサービスにリンクされたロールを使用します。これによりAWSServiceRoleForAuditManager、が使用または管理するAWSサービスやリソースへのアクセスが可能になります AWS Audit Manager。

AWSServiceRoleForAuditManager サービスにリンクされたロールは、ロールを継承するために auditmanager.amazonaws.com のサービスを信頼します。

ロールアクセス許可ポリシーによりAWSAuditManagerServiceRolePolicy、Audit Manager は AWS 使用状況に関する自動証拠を収集できます。具体的には、ユーザーに代わって以下のアクションを実行できます。

Audit Manager は、を使用してコンプライアンスチェックの証拠 AWS Security Hub を収集できます。この場合、Audit Manager は次のアクセス許可を使用して、から直接セキュリティチェックの結果を報告します AWS Security Hub。次に、その結果を証拠として関連する評価コントロールに添付します。
- securityhub:DescribeStandards
注記
Audit Manager が記述できる特定の Security Hub コントロールの詳細については、「AWS Audit ManagerでサポートされているAWS Security Hub コントロール」を参照してください。
Audit Manager は、を使用してコンプライアンスチェックの証拠 AWS Config を収集できます。この場合、Audit Manager は次のアクセス許可を使用して、から AWS Config ルール評価の結果を直接レポートします AWS Config。次に、その結果を証拠として関連する評価コントロールに添付します。
- config:DescribeConfigRules
- config:DescribeDeliveryChannels
- config:ListDiscoveredResources
注記
Audit Manager が説明できる特定の AWS Config ルールの詳細については、AWS Config 「でサポートされているルール AWS Audit Manager」を参照してください。
Audit Manager は、を使用してユーザーアクティビティの証拠 AWS CloudTrail を収集できます。この場合、Audit Manager は次のアクセス許可を使用してログからユーザーアクティビティをキャプチャ CloudTrail します。次に、そのアクティビティを証拠として関連する評価コントロールに添付します。
- cloudtrail:DescribeTrails
- cloudtrail:LookupEvents
注記
Audit Manager が説明できる特定の CloudTrail イベントの詳細については、AWS CloudTrail 「でサポートされているイベント名 AWS Audit Manager」を参照してください。
Audit Manager は、呼び出しを使用して AWS APIリソース設定の証拠を収集できます。この場合、Audit Manager は、次のアクセス許可を使用して、次ののリソース設定を記述APIsする読み取り専用を呼び出します AWS のサービス。次に、関連する評価コントロールにAPI回答を証拠としてアタッチします。
- acm:GetAccountConfiguration
- acm:ListCertificates
- apigateway:GET
- autoscaling:DescribeAutoScalingGroups
- backup:ListBackupPlans
- backup:ListRecoveryPointsByResource
- bedrock:GetCustomModel
- bedrock:GetFoundationModel
- bedrock:GetModelCustomizationJob
- bedrock:GetModelInvocationLoggingConfiguration
- bedrock:ListCustomModels
- bedrock:ListFoundationModels
- bedrock:ListGuardrails
- bedrock:ListModelCustomizationJobs
- cloudfront:GetDistribution
- cloudfront:GetDistributionConfig
- cloudfront:ListDistributions
- cloudtrail:DescribeTrails
- cloudtrail:GetTrail
- cloudtrail:ListTrails
- cloudtrail:LookupEvents
- cloudwatch:DescribeAlarms
- cloudwatch:DescribeAlarmsForMetric
- cloudwatch:GetMetricStatistics
- cloudwatch:ListMetrics
- cognito-idp:DescribeUserPool
- config:DescribeConfigRules
- config:DescribeDeliveryChannels
- config:ListDiscoveredResources
- directconnect:DescribeDirectConnectGateways
- directconnect:DescribeVirtualGateways
- dynamodb:DescribeBackup
- dynamodb:DescribeContinuousBackups
- dynamodb:DescribeTable
- dynamodb:DescribeTableReplicaAutoScaling
- dynamodb:ListBackups
- dynamodb:ListGlobalTables
- dynamodb:ListTables
- ec2:DescribeAddresses
- ec2:DescribeCustomerGateways
- ec2:DescribeEgressOnlyInternetGateways
- ec2:DescribeFlowLogs
- ec2:DescribeInstanceCreditSpecifications
- ec2:DescribeInstanceAttribute
- ec2:DescribeInstances
- ec2:DescribeInternetGateways
- ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations
- ec2:DescribeLocalGateways
- ec2:DescribeLocalGatewayVirtualInterfaces
- ec2:DescribeNatGateways
- ec2:DescribeNetworkAcls
- ec2:DescribeRouteTables
- ec2:DescribeSecurityGroups
- ec2:DescribeSecurityGroupRules
- ec2:DescribeSnapshots
- ec2:DescribeTransitGateways
- ec2:DescribeVolumes
- ec2:DescribeVpcEndpoints
- ec2:DescribeVpcEndpointConnections
- ec2:DescribeVpcEndpointServiceConfigurations
- ec2:DescribeVpcPeeringConnections
- ec2:DescribeVpcs
- ec2:DescribeVpnConnections
- ec2:DescribeVpnGateways
- ec2:GetEbsDefaultKmsKeyId
- ec2:GetEbsEncryptionByDefault
- ec2:GetLaunchTemplateData
- ecs:DescribeClusters
- eks:DescribeAddonVersions
- elasticache:DescribeCacheClusters
- elasticache:DescribeServiceUpdates
- elasticfilesystem:DescribeAccessPoints
- elasticfilesystem:DescribeFileSystems
- elasticloadbalancing:DescribeLoadBalancers
- elasticloadbalancing:DescribeSslPolicies
- elasticloadbalancing:DescribeTargetGroups
- elasticmapreduce:ListClusters
- elasticmapreduce:ListSecurityConfigurations
- es:DescribeDomains
- es:DescribeDomain
- es:DescribeDomainConfig
- es:ListDomainNames
- events:DeleteRule
- events:DescribeRule
- events:DisableRule
- events:EnableRule
- events:ListConnections
- events:ListEventBuses
- events:ListEventSources
- events:ListRules
- events:ListTargetsByRule
- events:PutRule
- events:PutTargets
- events:RemoveTargets
- firehose:ListDeliveryStreams
- fsx:DescribeFileSystems
- guardduty:ListDetectors
- iam:GenerateCredentialReport
- iam:GetAccessKeyLastUsed
- iam:GetAccountAuthorizationDetails
- iam:GetAccountPasswordPolicy
- iam:GetAccountSummary
- iam:GetCredentialReport
- iam:GetGroupPolicy
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:GetRolePolicy
- iam:GetUser
- iam:GetUserPolicy
- iam:ListAccessKeys
- iam:ListAttachedGroupPolicies
- iam:ListAttachedRolePolicies
- iam:ListAttachedUserPolicies
- iam:ListEntitiesForPolicy
- iam:ListGroupPolicies
- iam:ListGroups
- iam:ListGroupsForUser
- iam:ListMfaDeviceTags
- iam:ListMfaDevices
- iam:ListOpenIdConnectProviders
- iam:ListPolicies
- iam:ListPolicyVersions
- iam:ListRolePolicies
- iam:ListRoles
- iam:ListSamlProviders
- iam:ListUserPolicies
- iam:ListUsers
- iam:ListVirtualMFADevices
- kafka:ListClusters
- kafka:ListKafkaVersions
- kinesis:ListStreams
- kms:DescribeKey
- kms:GetKeyPolicy
- kms:GetKeyRotationStatus
- kms:ListGrants
- kms:ListKeyPolicies
- kms:ListKeys
- lambda:ListFunctions
- license-manager:ListAssociationsForLicenseConfiguration
- license-manager:ListLicenseConfigurations
- license-manager:ListUsageForLicenseConfiguration
- logs:DescribeDestinations
- logs:DescribeExportTasks
- logs:DescribeLogGroups
- logs:DescribeMetricFilters
- logs:DescribeResourcePolicies
- logs:FilterLogEvents
- logs:GetDataProtectionPolicy
- organizations:DescribeOrganization
- organizations:DescribePolicy
- rds:DescribeCertificates
- rds:DescribeDBClusterEndpoints
- rds:DescribeDBClusterParameterGroups
- rds:DescribeDBClusters
- rds:DescribeDBInstances
- rds:DescribeDBInstanceAutomatedBackups
- rds:DescribeDBSecurityGroups
- redshift:DescribeClusters
- redshift:DescribeClusterSnapshots
- redshift:DescribeLoggingStatus
- route53:GetQueryLoggingConfig
- s3:GetBucketAcl
- s3:GetBucketLogging
- s3:GetBucketOwnershipControls
- s3:GetBucketPolicy
  - このAPIアクションは、 AWS アカウントが利用可能なの範囲内で動作します service-linked-role。クロスアカウントのバケットポリシーにはアクセスできません。
- s3:GetBucketPublicAccessBlock
- s3:GetBucketTagging
- s3:GetBucketVersioning
- s3:GetEncryptionConfiguration
- s3:GetLifecycleConfiguration
- s3:ListAllMyBuckets
- sagemaker:DescribeAlgorithm
- sagemaker:DescribeDomain
- sagemaker:DescribeEndpoint
- sagemaker:DescribeEndpointConfig
- sagemaker:DescribeFlowDefinition
- sagemaker:DescribeHumanTaskUi
- sagemaker:DescribeLabelingJob
- sagemaker:DescribeModel
- sagemaker:DescribeModelBiasJobDefinition
- sagemaker:DescribeModelCard
- sagemaker:DescribeModelQualityJobDefinition
- sagemaker:DescribeTrainingJob
- sagemaker:DescribeUserProfile
- sagemaker:ListAlgorithms
- sagemaker:ListDomains
- sagemaker:ListEndpointConfigs
- sagemaker:ListEndpoints
- sagemaker:ListFlowDefinitions
- sagemaker:ListHumanTaskUis
- sagemaker:ListLabelingJobs
- sagemaker:ListModels
- sagemaker:ListModelBiasJobDefinitions
- sagemaker:ListModelCards
- sagemaker:ListModelQualityJobDefinitions
- sagemaker:ListMonitoringAlerts
- sagemaker:ListMonitoringSchedules
- sagemaker:ListTrainingJobs
- sagemaker:ListUserProfiles
- securityhub:DescribeStandards
- secretsmanager:DescribeSecret
- secretsmanager:ListSecrets
- sns:ListTagsForResource
- sns:ListTopics
- sqs:ListQueues
- waf-regional:GetLoggingConfiguration
- waf-regional:GetRule
- waf-regional:GetWebAcl
- waf-regional:ListRuleGroups
- waf-regional:ListRules
- waf-regional:ListSubscribedRuleGroups
- waf-regional:ListWebACLs
- waf:GetRule
- waf:GetRuleGroup
- waf:ListActivatedRulesInRuleGroup
- waf:ListRuleGroups
- waf:ListRules
- waf:ListWebAcls
- wafv2:ListWebAcls
注記
Audit Manager が説明できる特定のAPI呼び出しの詳細については、「」を参照してくださいカスタムコントロールデータソースでサポートされるAPI コール。

サービスにリンクされたロールの完全なアクセス許可の詳細についてはAWSServiceRoleForAuditManager、AWS 「マネージドポリシーリファレンスガイドAWSAuditManagerServiceRolePolicy」の「」を参照してください。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするアクセス許可を設定する必要があります。詳細については、「ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。 IAM

AWS Audit Manager サービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。を有効にすると AWS Audit Manager、サービスにリンクされたロールが自動的に作成されます。Audit Manager は、のオンボーディングページ、または AWS Management Console APIまたはから有効にできます AWS CLI。詳細については、ユーザーガイドの「有効化 AWS Audit Manager」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。

AWS Audit Manager サービスにリンクされたロールの編集

AWS Audit Manager では、AWSServiceRoleForAuditManagerサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、を使用してロールの説明を編集できますIAM。詳細については、IAM「ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

IAM エンティティが`AWSServiceRoleForAuditManager`サービスにリンクされたロールの説明を編集できるようにするには

サービスにリンクされたロールの説明を編集する必要があるIAMエンティティのアクセス許可ポリシーに次のステートメントを追加します。


{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}

AWS Audit Manager サービスにリンクされたロールの削除

Audit Managerを使用する必要がなくなった場合は、AWSServiceRoleForAuditManager サービスリンクロールを削除することをお勧めします。これにより、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、削除する前に、サービスリンクロールをクリーンアップする必要があります。

サービスにリンクされたロールのクリーンアップ

IAM を使用して Audit Manager サービスにリンクされたロールを削除する前に、まずそのロールにアクティブなセッションがないことを確認し、そのロールが使用するリソースを削除する必要があります。そのためには、Audit Manager がすべてので登録解除されていることを確認します AWS リージョン。登録を解除すると、Audit Manager はサービスリンクロールを使用しなくなります。

Audit Managerの登録解除の方法については以下のリソースを参照してください。

このガイドの「無効化 AWS Audit Manager」
DeregisterAccount AWS Audit Manager APIリファレンスの
AWS CLI のリファレンス AWS Audit Managerの deregister-account

Audit Manager リソースを手動で削除する方法については、本ガイドの「Audit Manager データの削除」を参照してください。

サービスリンクロールの削除

サービスにリンクされたロールは、IAMコンソール、 (AWS CLI）、 AWS Command Line Interface または IAM を使用して削除できますAPI。

IAM console

IAM コンソールでサービスにリンクされたロールを削除するには、次の手順に従います。

サービスにリンクされたロールを削除するには (コンソール)

にサインイン AWS Management Console し、でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/。
IAM コンソールのナビゲーションペインで、ロール を選択します。AWSServiceRoleForAuditManager の横のチェックボックス (名前または行自体ではなく) を選択します。
ページ上部にある [ロールのアクション] で [削除] を選択します。
確認ダイアログボックスで、最終アクセス情報を確認します。これは、選択したそれぞれのロールの AWS のサービスへの最終アクセス時間を示します。これは、そのロールが現在アクティブであるかどうかを確認するのに役立ちます。先に進む場合は、テキスト入力フィールドに AWSServiceRoleForAuditManager と入力し、[削除]を選択して、削除するサービスリンクロールを送信します。
IAM コンソールの通知を見て、サービスにリンクされたロールの削除の進行状況をモニタリングします。IAM サービスにリンクされたロールの削除は非同期であるため、削除のためにロールを送信すると、削除タスクが成功または失敗する可能性があります。タスクが成功した場合は、ロールがリストから削除され、成功のメッセージがページの上部に表示されます。

AWS CLI

からIAMコマンドを使用して AWS CLI 、サービスにリンクされたロールを削除できます。

サービスにリンクされたロールを削除するには (AWS CLI)

次のコマンドを入力して、アカウント内のロールを一覧表示します。
```
aws iam get-role --role-name AWSServiceRoleForAuditManager
```
サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから deletion-task-id を取得して、削除タスクのステータスを確認する必要があります。

サービスにリンクされたロールの削除リクエストを送信するには、次のコマンドを入力します：
```
aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager
```
削除タスクのステータスを確認するには、次のコマンドを入力します：
```
aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
削除タスクのステータスは、NOT_STARTED、IN_PROGRESS、SUCCEEDED、または FAILED となります。削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。

IAM API

を使用してIAMAPI、サービスにリンクされたロールを削除できます。

サービスにリンクされたロールを削除するには (API）

を呼び出しGetRoleて、アカウント内のロールを一覧表示します。リクエストで AWSServiceRoleForAuditManagerをRoleNameとして指定します。
サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから DeletionTaskId を取得して、削除タスクのステータスを確認する必要があります。

サービスにリンクされたロールの削除リクエストを送信するには、を呼び出しますDeleteServiceLinkedRole。リクエストで AWSServiceRoleForAuditManagerをRoleNameとして指定します。
削除のステータスを確認するには、を呼び出しますGetServiceLinkedRoleDeletionStatus。リクエストで DeletionTaskId を指定します。

削除タスクのステータスは、NOT_STARTED、IN_PROGRESS、SUCCEEDED、または FAILED となります。削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。

Audit Manager サービスにリンクされたロールを削除するためのヒント

Audit Manager のサービスにリンクされたロールの削除プロセスは、Audit Manager がロールを使用しているか、リソースが関連付けられている場合に失敗する可能性があります。これは、次のシナリオで発生する可能性があります。

アカウントは、1 つ以上ので Audit Manager に登録されています AWS リージョン。
アカウントは AWS 組織の一部であり、管理アカウントまたは委任された管理者アカウントは引き続き Audit Manager にオンボーディングされます。

削除に失敗した問題を解決するには、まず AWS アカウントが Organization の一部であるかどうかを確認します。これを行うには、 DescribeOrganizationAPIオペレーションを呼び出すか、 AWS Organizations コンソールに移動します。

AWS アカウントが組織の一部である場合

管理アカウントを使用して、Audit Manager で委任された管理者を追加したすべての場所で削除します。 AWS リージョン
管理アカウントを使用して、サービスを使用したすべての AWS リージョンで Audit Manager の登録を解除します。
前の手順の手順に従って、サービスにリンクされたロールの削除を再試行してください。

AWS アカウントが組織の一部でない場合

サービスを使用したすべての AWS リージョン場所で Audit Manager の登録を解除していることを確認してください。
前の手順の手順に従って、サービスにリンクされたロールの削除を再試行してください。

Audit Manager から登録を解除すると、サービスはサービスにリンクされたロールの使用を停止します。その後、ロールを正常に削除できます。

AWS Audit Manager サービスにリンクされたロールでサポートされているリージョン

AWS Audit Manager は、サービス AWS リージョンが利用可能なすべてのでサービスにリンクされたロールの使用をサポートします。詳細については、AWS サービスエンドポイントを参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

コンプライアンス検証