翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

のサービスにリンクされたロールの使用 AWS Compute Optimizer

AWS Compute Optimizer は AWS Identity and Access Management （IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Compute Optimizer に直接リンクされた一意のタイプのIAMロールです。サービスにリンクされたロールは Compute Optimizer によって事前定義されており、サービスがユーザーに代わって他のロールを呼び出すために必要なアクセス許可がすべて含まれています。

サービスリンクロールを使用することで、Compute Optimizer の設定に必要なアクセス許可を手動で追加する必要がなくなります。Compute Optimizer は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Compute Optimizer のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 を使用するサービスIAM」を参照してください。また、「 ロール」列で「はい」のサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Compute Optimizer のサービスにリンクされたロールのアクセス許可

Compute Optimizer は、 という名前のサービスにリンクされたロールAWSServiceRoleForComputeOptimizerを使用して、アカウントの AWS リソースの Amazon CloudWatch メトリクスにアクセスします。

AWSServiceRoleForComputeOptimizer サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

このロールの許可ポリシーは、Compute Optimizer が指定されたリソースで以下のアクションを完了することを許可します。

サービスにリンクされたロールのアクセス許可

Compute Optimizer のサービスにリンクされたロールを作成するには、IAMエンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成できるようにするアクセス許可を設定します。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

IAMエンティティが Compute Optimizer の特定のサービスにリンクされたロールを作成できるようにするには

サービスにリンクされたロールを作成する必要があるIAMエンティティに、次のポリシーを追加します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

IAMエンティティがサービスにリンクされたロールを作成できるようにするには

サービスにリンクされたロールを作成する必要があるIAMエンティティのアクセス許可ポリシー、または必要なポリシーを含むサービスロールに次のステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Compute Optimizer でのサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは で Compute Optimizer サービスにオプトインすると AWS API、Compute Optimizer はサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再度作成できます。Compute Optimizer サービスにオプトインすると、Compute Optimizer により、サービスにリンクされたロールが再度作成されます。

Compute Optimizer のサービスにリンクされたロールの編集

Compute Optimizer では、 AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集できますIAM。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Compute Optimizer のサービスにリンクされたロールの削除

Compute Optimizer を使用する必要がなくなった場合は、 AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、サービスにリンクされたロールを手動で削除する前に、Compute Optimizer をオプトアウトする必要があります。

Compute Optimizer をオプトアウトするには

Compute Optimizer からのオプトアウトの詳細については、「Compute Optimizer のオプトアウト」を参照してください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、 AWS CLI、または AWS API を使用して、 AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを削除します。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Compute Optimizer サービスにリンクされたロールでサポートされているリージョン

Compute Optimizer では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。現在サポートされている Compute Optimizer の AWS リージョン とエンドポイントを表示するには、「AWS 全般のリファレンス」の「Compute Optimizer エンドポイントとクォータ」を参照してください。

追加リソース