翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Trusted Advisorのサービスにリンクされたロールの使用
AWS Trusted Advisor は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、直接リンクされた一意の IAM ロールです AWS Trusted Advisor。サービスにリンクされたロールは、 によって事前定義されており Trusted Advisor、ユーザーに代わって他の AWS サービスを呼び出すためにサービスが必要とするすべてのアクセス許可が含まれています。 はこのロール Trusted Advisor を使用して、 全体の使用状況を確認し AWS 、環境を改善 AWS するための推奨事項を提供します。例えば、 は Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの使用 Trusted Advisor を分析して、コスト削減、パフォーマンスの向上、障害の許容、セキュリティの向上を支援します。
注記
AWS サポート は、別の IAM サービスにリンクされたロールを使用してアカウントのリソースにアクセスし、請求、管理、およびサポートサービスを提供します。詳細については、「AWS サポートのサービスにリンクされたロールの使用」を参照してください。
サービスにリンクされたロールをサポートするその他のサービスの詳細については、「IAM と連携するAWS のサービス」を参照してください。サービスにリンクされたロール列が「はい」になっているサービスを見つけます。サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
トピック
Trusted Advisorのサービスリンクロールのアクセス許可
Trusted Advisor は、次の 2 つのサービスにリンクされたロールを使用します。
-
AWSServiceRoleForTrustedAdvisor
— このロールは Trusted Advisor サービスを信頼して、ロールがユーザーの代理として AWS のサービスにアクセスするロールを継承します。ロールのアクセス許可ポリシーは、すべての AWS リソースへの Trusted Advisor 読み取り専用アクセスを許可します。このロールは、必要なアクセス許可を追加する必要がないため、 AWS アカウントの使用を簡単に開始できます Trusted Advisor。 AWS アカウントを開くと、 によってこのロールが自動的に Trusted Advisor 作成されます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。その他の IAM エンティティにアクセス許可ポリシーをアタッチすることはできません。 アタッチされたポリシーの詳細については、「AWSTrustedAdvisorServiceRolePolicy」を参照してください。
-
AWSServiceRoleForTrustedAdvisorReporting
— このロールは Trusted Advisor サービスを信頼して、組織ビュー機能のロールを継承します。このロールは、 AWS Organizations 組織内の信頼されたサービス Trusted Advisor として を有効にします。組織ビューを有効にすると、 によってこのロール Trusted Advisor が作成されます。 アタッチされたポリシーの詳細については、「AWSTrustedAdvisorReportingServiceRolePolicy」を参照してください。
組織ビューを使用して、組織内のすべてのアカウントの Trusted Advisor チェック結果のレポートを作成できます。この機能の詳細については、「の組織ビュー AWS Trusted Advisor」を参照してください。
サービスにリンクされたロールのアクセス許可の管理
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。次の例では、AWSServiceRoleForTrustedAdvisor サービスリンクロールを使用します。
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールを作成することを許可します
このステップは、 Trusted Advisor アカウントが無効になっており、サービスにリンクされたロールが削除され、ユーザーが再度有効にするにはロールを再作成する必要がある場合にのみ必要です Trusted Advisor。
サービスにリンクされたロールを作成する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールの説明を編集することを許可します
説明できるのは、AWSServiceRoleForTrustedAdvisor ロールの説明のみです。サービスにリンクされたロールの説明を編集する IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAM エンティティが AWSServiceRoleForTrustedAdvisor サービスリンクロールを削除することを許可します
サービスにリンクされたロールを削除する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
AdministratorAccess
Trusted Advisorのサービスリンクロールの作成
AWSServiceRoleForTrustedAdvisor サービスリンクロールを手動で作成する必要はありません。 AWS アカウントを開くと、 によってサービスにリンクされたロール Trusted Advisor が作成されます。
重要
Trusted Advisor サービスにリンクされたロールのサポートを開始する前に サービスを使用していた場合、 はアカウントにAWSServiceRoleForTrustedAdvisorロールを作成 Trusted Advisor 済みです。詳細については、IAM ユーザーガイドの「IAM アカウントに新しいロールが表示される」を参照してください。
お客様のアカウントに AWSServiceRoleForTrustedAdvisor サービスリンクロールが設定されていない場合、 Trusted Advisor が想定どおりに動作しません。これは、アカウント内のユーザーが Trusted Advisor を無効にした後、サービスにリンクされたロールを削除した場合に発生することがあります。その場合は、IAM を使用して AWSServiceRoleForTrustedAdvisor サービスリンクロールを作成してから、 Trusted Advisorを有効にします。
を有効にするには Trusted Advisor (コンソール)
-
のサービスにリンクされたロールを作成するには AWS CLI、IAM コンソール、または IAM API を使用します Trusted Advisor。詳細については、「サービスにリンクされたロールの作成」を参照してください。
-
にサインインし AWS Management Console、 で Trusted Advisor コンソールに移動しますhttps://console.aws.amazon.com/trustedadvisor
。 [無効な Trusted Advisor] ステータスバナーがコンソールに表示されます。
-
ステータスバナーから Trusted Advisor ロールの有効化を選択します。必要な
AWSServiceRoleForTrustedAdvisorが検出されない場合は、無効ステータスバナーが表示されたままになります。
Trusted Advisorのサービスにリンクされたロールの編集
さまざまなエンティティから参照される可能性があるため、サービスにリンクされたロールの名前を変更することはできません。ただし、IAM コンソール AWS CLI、または IAM API を使用してロールの説明を編集できます。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの編集」を参照してください。
Trusted Advisorのサービスリンクロールの削除
の機能やサービスを使用する必要がない場合は Trusted Advisor、AWSServiceRoleForTrustedAdvisorロールを削除できます。このサービスにリンクされたロールを削除する Trusted Advisor 前に、 を無効にする必要があります。これにより、 Trusted Advisor オペレーションに必要なアクセス権限の削除を防止します。無効にすると Trusted Advisor、オフライン処理や通知など、すべてのサービス機能が無効になります。また、メンバーアカウント Trusted Advisor に対して を無効にすると、個別の支払者アカウントも影響を受けます。つまり、コストを節約する方法を特定する Trusted Advisor チェックは受信されません。 Trusted Advisor
コンソールにはアクセスできません。アクセス拒否エラーを Trusted Advisor 返す API コール。
Trusted Advisorを再度有効化するには、AWSServiceRoleForTrustedAdvisor サービスリンクロールを再作成する必要があります。
AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを削除する前に、コンソール Trusted Advisor で を無効にする必要があります。
を無効にするには Trusted Advisor
-
にサインイン AWS Management Console し、 で Trusted Advisor コンソールに移動しますhttps://console.aws.amazon.com/trustedadvisor
。 -
ナビゲーションペインで [設定] を選択します。
-
[Service Linked Role Permissions (サービスにリンクされたロールのアクセス許可)] セクションで、[Disable Trusted Advisor(無効にする)] を選択します。
-
確認ダイアログボックスで、[OK] を選択して、 Trusted Advisorを無効にすることを確認します。
無効にすると Trusted Advisor、すべての Trusted Advisor 機能が無効になり、 Trusted Advisor コンソールには無効ステータスバナーのみが表示されます。
その後、IAM コンソール、 AWS CLI、または IAM API を使用して、 という名前 Trusted Advisor のサービスにリンクされたロールを削除できますAWSServiceRoleForTrustedAdvisor。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
