CloudTrail のサービスにリンクされたロールの許可 CloudTrail のサービスにリンクされたロールの作成 CloudTrail のサービスにリンクされたロールの編集 CloudTrail のサービスにリンクされたロールの削除サービスにリンクされた CloudTrail ロールでサポートされるリージョン

AWS CloudTrail のサービスにリンクされたロールの使用

AWS CloudTrail では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスにリンクされたロールは、CloudTrail に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、CloudTrail によって事前定義されており、ユーザーに代わって他の AWS のサービスを呼び出すために必要なアクセス許可をすべて含んでいます。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、CloudTrail の設定が簡単になります。CloudTrail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、CloudTrail のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスリンクロールをサポートする他のサービスについては、IAM と連携する AWS のサービスを参照して、[サービスにリンクされたロール] 列が [はい] になっているサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、はいリンクを選択します。

CloudTrail のサービスにリンクされたロールの許可

CloudTrail は、AWSServiceRoleForCloudTrail という名前のサービスリンクロールを使用します。このロールを使用して、組織の証跡とイベントデータストアがサポートされます。

サービスにリンクされた AWSServiceRoleForCloudTrail ロールは、以下のサービスを信頼してロールを引き受けます。

cloudtrail.amazonaws.com

このロールは、CloudTrail の組織の証跡を作成および管理し、CloudTrail 内で CloudTrail Lake 組織のイベントデータストアをサポートするために使用されます。詳細については、「組織の証跡の作成」を参照してください。

ロールにアタッチされた CloudTrailServiceRolePolicy ポリシーは、指定したリソースに対して以下のアクションを完了することを CloudTrail に許可します。

すべての CloudTrail リソースに対するアクション:
- All
すべての AWS Organizations リソースでのアクション:
- organizations:DescribeAccount
- organizations:DescribeOrganization
- organizations:ListAccounts
- organizations:ListAWSServiceAccessForOrganization
組織の委任された管理者を一覧表示するための、CloudTrail サービスプリンシパルのすべての Organizations リソースでのアクション:
- organizations:ListDelegatedAdministrators
組織のイベントデータストアで Lake フェデレーションを無効にするアクション:
- glue:DeleteTable
- lakeformation:DeRegisterResource

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの許可」を参照してください。

CloudTrail のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。CloudTrail コンソールで、あるいは AWS CLI または API オペレーションを使用して組織の証跡または組織のイベントデータストアを作成するか委任管理者を追加すると、サービスにリンクされたロールがまだ存在しない場合、サービスにリンクされたロールが CloudTrail によって自動的に作成されます。

このサービスリンクロールを削除した後に再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。組織の証跡または組織のイベントデータストアを作成するか委任管理者を追加すると、サービスにリンクされたロールが CloudTrail によって再度作成されます。

CloudTrail のサービスにリンクされたロールの編集

CloudTrail では、AWSServiceRoleForCloudTrail のサービスリンクロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

CloudTrail のサービスにリンクされたロールの削除

AWSServiceRoleForCloudTrail ロールを手動で削除する必要はありません。AWS アカウントが Organizations 組織から削除された場合、AWSServiceRoleForCloudTrail ロールはその AWS アカウントから自動的に削除されます。組織の管理アカウントの AWSServiceRoleForCloudTrail サービスリンクロールからポリシーをデタッチまたは削除するには、組織からアカウントを削除する必要があります。

サービスリンクロールは、IAM コンソール、AWS CLI、または AWS API を使用して手動で削除することもできます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。

注記

リソースを削除する際に、CloudTrail サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForCloudTrail ロールで使用されているリソースを削除するには、以下のいずれかの処理を行うことができます。

Organizations の組織から AWS アカウントを削除します。
証跡を更新し、組織の証跡を停止させる必要があります。詳細については、「 CloudTrail コンソールを使用した証跡の更新」を参照してください。
イベントデータストアを組織のイベントデータストアではなくなるように更新します。詳細については、「コンソールでイベントデータストアを更新する」を参照してください。
証跡を削除します。詳細については、「CloudTrail コンソールで証跡を削除する」を参照してください。
イベントデータストアを削除します。詳細については、「コンソールでイベントデータストアを削除する」を参照してください。

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForCloudTrail サービスリンクロールを削除します。詳細については、 IAM ユーザーガイドの「サービスにリンクされたロールの削除」を参照してください。

サービスにリンクされた CloudTrail ロールでサポートされるリージョン

CloudTrail は、CloudTrail および Organizations の両方が利用できるすべての AWS リージョンで、サービスリンクロールの使用をサポートしています。詳細については、「AWS 全般のリファレンス」の「AWS のサービスエンドポイント」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

AWS マネージドポリシー