Amazon EC2 Auto Scaling のサービスにリンクされたロール - Amazon EC2 Auto Scaling
概要サービスにリンクされたロールによって付与されるアクセス許可Amazon EC2 Auto Scaling サービスにリンクされたロールでサポートされているリージョンサービスにリンクされたロールの作成、編集、削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EC2 Auto Scaling のサービスにリンクされたロール

Amazon EC2 Auto Scaling は、 AWS のサービス ユーザーに代わって他の を呼び出すために必要なアクセス許可に、サービスにリンクされたロールを使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプの IAM ロールです AWS のサービス。

サービスにリンクされたロールは、他の AWS のサービス にアクセス許可を委任するためのセキュアな方法を提供します。これは、リンクされたサービスのみが、サービスにリンクされたロールを引き受けることができるためです。詳細については、IAM ユーザーガイド」の「サービスにリンクされたロールの使用」を参照してください。また、サービスにリンクされたロールを使用すると、すべての API 呼び出しを表示できます AWS CloudTrail。これは、Amazon EC2 Auto Scaling がユーザーに代わって実行するすべてのアクションを追跡できるため、モニタリングと監査の要件に役立ちます。詳細については、「で Amazon EC2 Auto Scaling API 呼び出しをログに記録する AWS CloudTrail」を参照してください。

以下のセクションでは、Amazon EC2 Auto Scaling サービスにリンクされたロールを作成および管理する方法を説明します。まず、IAM アイデンティティ (ユーザーやロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするアクセス許可を設定します。詳細については、IAM ユーザーガイド」の「サービスにリンクされたロールの使用」を参照してください。

概要

Amazon EC2 Auto Scaling サービスにリンクされたロールには、次の 2 つのタイプがあります。

  • AWSServiceRoleForAutoScaling という名前のアカウントのデフォルトのサービスにリンクされたロール。このロールは、自動的に Auto Scaling グループに割り当てられます。ただし、別のサービスにリンクされたロールを指定している場合を除きます。

  • AWSServiceRoleForAutoScaling_ など、ロールの作成時に指定するカスタムサフィックスを持つサービスにリンクされたロールmysuffix.

カスタムサフィックス付きのサービスにリンクされたロールのアクセス許可は、デフォルトのサービスにリンクされたロールのアクセス許可と同じです。いずれの場合も、ロールを編集することはできません。また、Auto Scaling グループが使用中の場合は削除することもできません。唯一の違いは、ロール名サフィックスです。

AWS Key Management Service キーポリシーを編集するときにどちらのロールも指定して、Amazon EC2 Auto Scaling によって起動されるインスタンスをカスタマーマネージドキーで暗号化できます。ただし、特定のカスタマー管理キーへのきめ細かなアクセスを許可する場合は、サービスにリンクされたロールカスタムサフィックスを使用する必要があります。カスタムサフィックス付きのサービスにリンクされたロールを使用すると、以下のことが可能です。

  • カスタマー管理キーをより詳細にコントロールする

  • Word CloudTrailログでどの Auto Scaling グループが API 呼び出しを行ったかを追跡する機能

一部のユーザーにのみアクセスを許可するカスタマー管理キー を作成する場合は、以下のステップに従って、カスタムサフィックス付きのサービスにリンクされたロールを使用できます。

  1. カスタムサフィックス付きのサービスにリンクされたロールを作成します。詳細については、「サービスにリンクされたロールを作成する (マニュアル)」を参照してください。

  2. サービスにリンクされたロールにカスタマー管理キー へのアクセスを許可します。サービスにリンクされたロールにキーの使用を許可するキーポリシーの詳細については、「暗号化されたボリュームで使用するために必要な AWS KMS キーポリシー」を参照してください。

  3. ユーザーに、作成したサービスにリンクされたロールへのアクセスを許可します。IAM ポリシーの作成の詳細については、「」を参照してください渡すことができるサービスにリンクされたロールを制御する ( PassRole を使用)。ユーザーが、サービスにリンクされたロールを渡すためのアクセス許可なしでそのロールを指定しようとすると、エラーが表示されます。

サービスにリンクされたロールによって付与されるアクセス許可

Amazon EC2 Auto Scaling は、AWSServiceRoleForAutoScaling という名前のサービスリンクロールまたはカスタムサフィックスサービスリンクロールを使用します。

サービスにリンクされたロールはその引き受け時に、以下のサービスを信頼します。

  • autoscaling.amazonaws.com

ロールのアクセス許可ポリシー、 AutoScalingServiceRolePolicyでは、Amazon EC2 Auto Scaling が以下のアクションを実行できるようにします。

  • ec2 – EC2 インスタンスを作成、説明、変更、開始/停止、および終了します。

  • iamIAM ロールを EC2 インスタンスに渡して、インスタンスで実行されているアプリケーションがロールの一時的な認証情報にアクセスできるようにします。

  • iamAWSServiceRoleForEC2Spot サービスにリンクされたロールを作成して、Amazon EC2 Auto Scaling がユーザーに代わってスポットインスタンスを起動できるようにします。

  • elasticloadbalancing — Elastic Load Balancing を使用してインスタンスを登録および登録解除し、登録されたターゲットの正常性をチェックします。

  • cloudwatch – スケーリングポリシーの CloudWatch アラームを作成、説明、変更、削除し、予測スケーリングに使用されるメトリクスを取得します。

  • sns – インスタンスの起動または終了時に Amazon SNS に通知を発行します。

  • events – ユーザーに代わって EventBridge ルールを作成、説明、更新、削除します。

  • ssm – 起動テンプレートで Systems Manager パラメータを AMI ID のエイリアスとして使用する場合は、Parameter Store からパラメータを読み取ります。

  • vpc-lattice – VPC Lattice でインスタンスを登録および登録解除し、登録されたターゲットの状態を確認します。

  • resource-groups – 指定されたリソースグループのメンバーであるリソースのすべてのリソース名 (ARNs) を取得します。

Amazon EC2 Auto Scaling サービスにリンクされたロールでサポートされているリージョン

Amazon EC2 Auto Scaling は、サービスが利用可能なすべての で AWS リージョン サービスにリンクされたロールの使用をサポートしています。

サービスにリンクされたロールの作成、編集、削除

サービスにリンクされたロールを作成する (自動)

Amazon EC2 Auto Scaling は、Auto Scaling グループを初めて作成するときに AWSServiceRoleForAutoScaling サービスにリンクされたロールを作成します。ただし、カスタムサフィックスサービスにリンクされたロールを手動で作成し、グループの作成時に指定する場合は除きます。

重要

サービスにリンクされたロールを作成するには、IAM アクセス許可が必要です。それ以外の場合、自動作成は失敗します。詳細については、IAM ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」およびこのガイドサービスにリンクされたロールの作成の「」を参照してください。

Amazon EC2 Auto Scaling は、2018 年 3 月にサービスにリンクされたロールのサポートを開始しました。それ以前に Auto Scaling グループを作成した場合、Amazon EC2 Auto Scaling はアカウントに AWSServiceRoleForAutoScaling ロールを作成しました。詳細については、IAM ユーザーガイド」の「 に新しいロールが表示され AWS アカウントました」を参照してください。

サービスにリンクされたロールを作成する (マニュアル)

サービスにリンクされたロールを作成するには (コンソール)

  1. IAM で https://console.aws.amazon.com/iam/ コンソールを開きます。

  2. ナビゲーションペインで [ロール][ロールの作成] の順に選択します。

  3. [Select trusted entity] (信頼されたエンティティの選択) で、[AWS のサービス] を選択します。

  4. このロールを使用するサービスを選択する で、EC2 Auto Scaling EC2 Auto Scaling のユースケースを選択します。

  5. [Next: Permissions (次へ: アクセス許可)]、[Next: Tags (次へ: タグ)]、[Next: Review (次へ: レビュー)] の順に選択します。注意: サービスにリンクされたロールの作成時にタグ付けを行うことはできません。

  6. レビューページで、ロール名を空白のままにして AWSServiceRoleForAutoScaling という名前のサービスにリンクされたロールを作成するか、サフィックスを入力して AWSServiceRoleForAutoScaling_ という名前のサービスにリンクされたロールを作成します。suffix.

  7. (オプション) [ロールの説明] で、サービスにリンクされたロールの説明を編集します。

  8. [ロールの作成] を選択します。

サービスリンクロールの作成 (AWS CLI)

次の create-service-linked-role CLI コマンドを使用して、AWSServiceRoleForAutoScaling_ という名前の Amazon EC2 Auto Scaling のサービスにリンクされたロールを作成します。suffix. 

aws iam create-service-linked-role --aws-service-name autoscaling.amazonaws.com --custom-suffix suffix

このコマンドの出力には、サービスにリンクされたロールの ARN が含まれます。これを使用して、サービスにリンクされたロールにカスタマーマネージドキーへのアクセス権を付与できます。

{
    "Role": {
        "RoleId": "ABCDEF0123456789ABCDEF",
        "CreateDate": "2018-08-30T21:59:18Z",
        "RoleName": "AWSServiceRoleForAutoScaling_suffix",
        "Arn": "arn:aws:iam::123456789012:role/aws-service-role/autoscaling.amazonaws.com/AWSServiceRoleForAutoScaling_suffix",
        "Path": "/aws-service-role/autoscaling.amazonaws.com/",
        "AssumeRolePolicyDocument": {
            "Version": "2012-10-17",
            "Statement": [
                {
                    "Action": [
                        "sts:AssumeRole"
                    ],
                    "Principal": {
                        "Service": [
                            "autoscaling.amazonaws.com"
                        ]
                    },
                    "Effect": "Allow"
                }
            ]
        }
    }
}

詳細については、IAM ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。

サービスにリンクされたロールを編集する

Amazon EC2 Auto Scaling 用に作成されたサービスにリンクされたロールは編集できません。サービスにリンクされたロールを作成した後、ロールの名前またはアクセス許可を変更することはできません。ただし、ロールの説明は編集できます。詳細については、「Word ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。 IAM

サービスにリンクされたロールを削除する

Auto Scaling グループを使用していない場合、そのサービスにリンクされたロールを削除することをお勧めします。ロールを削除すると、使用されていないエンティティやアクティブにモニタリングおよび維持されていないエンティティがなくなります。

サービスにリンクされたロールを削除するには、まずその関連依存リソースを削除します。これにより、リソースに対する Amazon EC2 Auto Scaling 許可を誤って取り消しないように保護できます。サービスにリンクされたロールが複数の Auto Scaling グループで使用されている場合、サービスにリンクされたロールを削除する前に、そのロールを使用するすべての Auto Scaling グループを削除する必要があります。詳細については、「Auto Scaling インフラストラクチャを削除する」を参照してください。

IAM を使用して、サービスにリンクされたロールを削除できます。詳細については、IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWSServiceRoleForAutoScaling サービスにリンクされたロールを削除すると、Auto Scaling グループを作成し、別のサービスにリンクされたロールを指定しないときに、Amazon EC2 Auto Scaling によってロールが再度作成されます。