翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
のサービスにリンクされたロールの使用 AWS CloudTrail
AWS CloudTrail は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のタイプのIAMロールです CloudTrail。サービスにリンクされたロールは によって事前定義 CloudTrail されており、 AWS のサービス ユーザーに代わってサービスが他の を呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 CloudTrail が簡単になります。 は、サービスにリンクされたロールのアクセス許可 CloudTrail を定義し、特に定義されている場合を除き、 のみがそのロールを引き受け CloudTrail ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。
サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。 そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている Yes] (はい) を選択します。
のサービスにリンクされたロールのアクセス許可 CloudTrail
CloudTrail は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForCloudTrail。このサービスにリンクされたロールは、組織の証跡と組織のイベントデータストアのサポートに使用されます。
AWSServiceRoleForCloudTrail サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
cloudtrail.amazonaws.com
このロールは、 の CloudTrail 組織証跡と CloudTrail Lake 組織のイベントデータストアの作成と管理をサポートするために使用されます CloudTrail。詳細については、「組織の証跡の作成」を参照してください。
ロールにアタッチされたCloudTrailServiceRolePolicyポリシーにより CloudTrail 、 は指定されたリソースに対して次のアクションを実行できます。
-
すべての CloudTrail リソースに対するアクション:
-
All
-
-
すべての AWS Organizations リソースに対するアクション:
-
organizations:DescribeAccount
-
organizations:DescribeOrganization
-
organizations:ListAccounts
-
organizations:ListAWSServiceAccessForOrganization
-
-
組織の委任された管理者を一覧表示するための CloudTrail サービスプリンシパルのすべての Organizations リソースに対するアクション:
-
organizations:ListDelegatedAdministrators
-
-
組織のイベントデータストアで Lake フェデレーションを無効にするアクション:
-
glue:DeleteTable
-
lakeformation:DeRegisterResource
-
IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。
のサービスにリンクされたロールの作成 CloudTrail
サービスリンクロールを手動で作成する必要はありません。組織の証跡または組織のイベントデータストアを作成するか、 CloudTrail コンソールで委任された管理者を追加するか、 AWS CLI または APIオペレーションを使用して、サービスにリンクされたロールが存在しない場合、 CloudTrail によって自動的に作成されます。
このサービスリンクロールを削除した後に再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。組織の証跡または組織のイベントデータストアを作成するか、委任された管理者を追加すると、 によってサービスにリンクされたロールが再度 CloudTrail 作成されます。
のサービスにリンクされたロールの編集 CloudTrail
CloudTrail では、AWSServiceRoleForCloudTrailサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
のサービスにリンクされたロールの削除 CloudTrail
AWSServiceRoleForCloudTrail ロールを手動で削除する必要はありません。 AWS アカウント が Organizations 組織から削除されると、AWSServiceRoleForCloudTrailロールはその から自動的に削除されます AWS アカウント。組織の管理アカウントの AWSServiceRoleForCloudTrail サービスリンクロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。
IAM コンソール、、 AWS CLI または AWS API を使用して、サービスにリンクされたロールを手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。
注記
リソースを削除しようとしたときに CloudTrail サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。
AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。
-
Organizations の組織 AWS アカウント から を削除します。
-
証跡を更新し、組織の証跡を停止させる必要があります。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。
-
イベントデータストアを組織のイベントデータストアではなくなるように更新します。詳細については、「コンソールでイベントデータストアを更新する」を参照してください。
-
証跡を削除します。詳細については、「 CloudTrail コンソールを使用した証跡の削除」を参照してください。
-
イベントデータストアを削除します。詳細については、「コンソールでイベントデータストアを削除する」を参照してください。
を使用してサービスにリンクされたロールを手動で削除するには IAM
IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForCloudTrailサービスにリンクされたロールを削除します。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。
CloudTrail サービスにリンクされたロールでサポートされているリージョン
CloudTrail は、 CloudTrail と Organizations の両方 AWS リージョン が利用可能なすべての で、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS 全般のリファレンス」の「AWS のサービス エンドポイント」を参照してください。