AWS Backup Audit Manager のロールの使用 - AWS Backup
AWS Backup のサービスリンクロールのアクセス許可AWS Backup のサービスリンクロールの作成AWS Backup のサービスにリンクされたロールの編集AWS Backup のサービスリンクロールの削除AWS Backup のサービスにリンクされたロールをサポートするリージョン

AWS Backup Audit Manager のロールの使用

AWS Backup では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、AWS Backup に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、AWS Backup による事前定義済みのロールであり、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべての権限を備えています。

サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、AWS Backup の設定が簡単になります。このサービスリンクロールのアクセス許可は AWS Backup で定義します。特に定義されている場合を除き、AWS Backup のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、AWS Backup リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、IAM と連携する AWS のサービスを参照して、Service-Linked Role] (サービスにリンクされたロール)列で Yes] (はい) のあるサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。

AWS Backup のサービスリンクロールのアクセス許可

AWS Backup は AWSServiceRoleForBackupReports と呼ばれるサービスにリンクされたロールを使用 – 権限のある AWS Backup を提供して、コントロール、フレームワーク、レポートを作成します。

AWSServiceRoleForBackupReports サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。

  • backup.amazonaws.com

このポリシーのアクセス許可を確認するには、「AWS マネージドポリシーリファレンス」の「AWSServiceRolePolicyForBackupReports」を参照してください。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイド の「サービスリンクロールの権限」を参照してください。

AWS Backup のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS Management Console でフレームワークまたはレポートプランを作成すると、AWS CLI、AWS API、AWS Backup はサービスにリンクされたロールを作成します。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。フレームワークまたはレポートプランを作成すると、AWS Backup はサービスにリンクされたロールを作成します。

AWS Backup のサービスにリンクされたロールの編集

AWS Backup で、AWSServiceRoleForBackupReports のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

AWS Backup のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。

サービスリンクロールのクリーンアップ

IAM を使用してサービスリンクロールを削除するには、最初に、そのロールで使用されているリソースをすべて削除する必要があります。すべてのフレームワークとレポートプランを削除する必要があります。

注記

リソースを削除する際に、AWS Backup のサービスでロールが使用されていると、削除に失敗することがあります。失敗した場合は、数分待ってから再度オペレーションを実行してください。

AWSServiceRoleForBackupReports (コンソール) が使用する AWS Backup リソースを削除するには

  1. すべてのフレームワークを削除するには、「フレームワークの削除」を参照してください。

  2. すべてのレポートプランを削除するには、「レポートプランの削除」を参照してください。

AWSServiceRoleForDirectConnect (コンソール) が使用する AWS Backup リソースを削除するには

  1. すべてのフレームワークを削除するには、delete-framework を使用してください。

  2. すべてのレポートプランを削除するには、delete-report-plan を使用してください。

AWSServiceRoleForBackupReports (API) が使用する AWS Backup リソースを削除するには

  1. すべてのフレームワークを削除するには、DeleteFramework を使用してください。

  2. すべてのレポートプランを削除するには、DeleteReportPlan を使用してください。

サービスリンクロールの手動による削除

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForBackupReports のサービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

AWS Backup のサービスにリンクされたロールをサポートするリージョン

AWS Backup では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、サポートされている AWS Backup 機能とリージョンを参照してください。