翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Trusted Advisorのサービスにリンクされたロールの使用
AWS Trusted Advisor は、 AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、 に直接リンクされた一意のIAMロールです AWS Trusted Advisor。サービスにリンクされたロールは によって事前定義されており Trusted Advisor、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。 はこのロール Trusted Advisor を使用して 全体の使用状況を確認し AWS 、環境を改善 AWS するための推奨事項を提供します。例えば、 は Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの使用 Trusted Advisor を分析して、コストの削減、パフォーマンスの向上、障害の許容、セキュリティの向上を支援します。
注記
AWS Support は、請求IAM、管理、およびサポートサービスを提供するために、アカウントのリソースにアクセスするためのサービスにリンクされた別のロールを使用します。詳細については、「AWS Supportのサービスにリンクされたロールの使用」を参照してください。
サービスにリンクされたロールをサポートする他のサービスの詳細については、「 AWS と連携する のサービスIAM」を参照してください。サービスにリンクされたロール列が「はい」になっているサービスを見つけます。サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
トピック
Trusted Advisorのサービスリンクロールのアクセス許可
Trusted Advisor は、次の 2 つのサービスにリンクされたロールを使用します。
-
AWSServiceRoleForTrustedAdvisor
– このロールは Trusted Advisor 、ユーザーに代わって サービスにアクセス AWS するためのロールを引き受けるために、サービスを信頼します。ロールのアクセス許可ポリシーは、すべての AWS リソースへの Trusted Advisor 読み取り専用アクセスを許可します。このロールは、 に必要なアクセス許可を追加する必要がないため、 AWS アカウントの使用を簡単に開始できます Trusted Advisor。 AWS アカウントを開くと、 によってこのロールが自動的に Trusted Advisor 作成されます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。アクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。 アタッチされたポリシーの詳細については、「」を参照してくださいAWSTrustedAdvisorServiceRolePolicy。
-
AWSServiceRoleForTrustedAdvisorReporting
— このロールは Trusted Advisor サービスを信頼して、組織ビュー機能のロールを継承します。このロールは、 AWS Organizations 組織内の信頼されたサービス Trusted Advisor として を有効にします。組織ビューを有効にすると、 によってこのロール Trusted Advisor が作成されます。 アタッチされたポリシーの詳細については、「AWSTrustedAdvisorReportingServiceRolePolicy」を参照してください。
組織ビューを使用して、組織内のすべてのアカウントの Trusted Advisor チェック結果のレポートを作成できます。この機能の詳細については、「AWS Trusted Advisor の組織ビュー」を参照してください。
サービスにリンクされたロールのアクセス許可の管理
IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。次の例では、AWSServiceRoleForTrustedAdvisor サービスリンクロールを使用します。
例 : IAMエンティティにAWSServiceRoleForTrustedAdvisorサービスにリンクされたロールの作成を許可する
このステップは、 Trusted Advisor アカウントが無効になっており、サービスにリンクされたロールが削除され、ユーザーがロールを再作成して を再度有効にする必要がある場合にのみ必要です Trusted Advisor。
IAM エンティティのアクセス許可ポリシーに次のステートメントを追加して、サービスにリンクされたロールを作成できます。
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAMエンティティがAWSServiceRoleForTrustedAdvisorサービスにリンクされたロールの説明を編集することを許可する
説明できるのは、AWSServiceRoleForTrustedAdvisor ロールの説明のみです。IAM エンティティのアクセス許可ポリシーに次のステートメントを追加して、サービスにリンクされたロールの説明を編集できます。
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : IAMエンティティにAWSServiceRoleForTrustedAdvisorサービスにリンクされたロールの削除を許可する
IAM エンティティのアクセス許可ポリシーに次のステートメントを追加して、サービスにリンクされたロールを削除できます。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
などの AWS 管理ポリシーを使用してAdministratorAccess
Trusted Advisorのサービスリンクロールの作成
AWSServiceRoleForTrustedAdvisor サービスリンクロールを手動で作成する必要はありません。 AWS アカウントを開くと、 によってサービスにリンクされたロールが自動的に Trusted Advisor 作成されます。
重要
Trusted Advisor サービスにリンクされたロールのサポートを開始する前にサービスを使用していた場合、 はアカウントにAWSServiceRoleForTrustedAdvisorロールを Trusted Advisor 既に作成しています。詳細については、「 ユーザーガイド」のIAM「アカウントに新しいロールが表示されましたIAM」を参照してください。
お客様のアカウントに AWSServiceRoleForTrustedAdvisor サービスリンクロールが設定されていない場合、 Trusted Advisor が想定どおりに動作しません。これは、アカウント内のユーザーが Trusted Advisor を無効にした後、サービスにリンクされたロールを削除した場合に発生することがあります。この場合、 IAMを使用してAWSServiceRoleForTrustedAdvisorサービスにリンクされたロールを作成し、 を再度有効にできます Trusted Advisor。
を有効にするには Trusted Advisor (コンソール)
-
IAM コンソール、または を使用して AWS CLI、 のサービスにリンクされたロールIAMAPIを作成します Trusted Advisor。詳細については、「サービスにリンクされたロールの作成」を参照してください。
-
にサインインし AWS Management Console、 の Trusted Advisor コンソールに移動しますhttps://console.aws.amazon.com/trustedadvisor
。 [無効な Trusted Advisor] ステータスバナーがコンソールに表示されます。
-
ステータスバナーから Trusted Advisor ロールを有効にするを選択します。必要な
AWSServiceRoleForTrustedAdvisorが検出されない場合は、無効ステータスバナーが表示されたままになります。
Trusted Advisorのサービスにリンクされたロールの編集
さまざまなエンティティから参照される可能性があるため、サービスにリンクされたロールの名前を変更することはできません。ただし、 IAMコンソール AWS CLI、または を使用してIAMAPI、ロールの説明を編集できます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
Trusted Advisorのサービスリンクロールの削除
の機能やサービスを使用する必要がない場合は Trusted Advisor、AWSServiceRoleForTrustedAdvisorロールを削除できます。このサービスにリンクされたロールを削除する Trusted Advisor 前に、 を無効にする必要があります。これにより、 Trusted Advisor オペレーションに必要なアクセス権限の削除を防止します。を無効にすると Trusted Advisor、オフライン処理や通知など、すべてのサービス機能を無効にします。また、メンバーアカウント Trusted Advisor に対して を無効にすると、個別の支払者アカウントも影響を受けます。つまり、コストを節約する方法を特定する Trusted Advisor チェックは受け取れません。 Trusted Advisor
コンソールにはアクセスできません。API は を呼び出してアクセス拒否エラー Trusted Advisor を返します。
Trusted Advisorを再度有効化するには、AWSServiceRoleForTrustedAdvisor サービスリンクロールを再作成する必要があります。
AWSServiceRoleForTrustedAdvisor サービスにリンクされたロールを削除する前に、コンソール Trusted Advisor で を無効にする必要があります。
を無効にするには Trusted Advisor
-
にサインイン AWS Management Console し、 の Trusted Advisor コンソールに移動しますhttps://console.aws.amazon.com/trustedadvisor
。 -
ナビゲーションペインで [設定] を選択します。
-
[Service Linked Role Permissions (サービスにリンクされたロールのアクセス許可)] セクションで、[Disable Trusted Advisor(無効にする)] を選択します。
-
確認ダイアログボックスで、[OK] を選択して、 Trusted Advisorを無効にすることを確認します。
を無効にすると Trusted Advisor、すべての Trusted Advisor 機能が無効になり、 Trusted Advisor コンソールには無効になっているステータスバナーのみが表示されます。
その後、コンソールIAM、、または を使用して AWS CLI、 という名前 Trusted Advisor のサービスにリンクされたロールIAMAPIを削除できますAWSServiceRoleForTrustedAdvisor。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。
