翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# のサービスにリンクされたロールの使用 AWS Config
<a name="using-service-linked-roles"></a>

AWS Config は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプの IAM ロールです AWS Config。サービスにリンクされたロールは によって事前定義 AWS Config されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 の設定 AWS Config が簡単になります。 は、サービスにリンクされたロールのアクセス許可 AWS Config を定義します。特に定義されている場合を除き、 のみがそのロールを引き受け AWS Config ることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスリンクロールをサポートする他のサービスについては、[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)を参照して、**[サービスにリンクされたロール]** 列が **[はい]** になっているサービスを探してください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。

## のサービスにリンクされたロールのアクセス許可 AWS Config
<a name="slr-permissions"></a>

AWS Config は **AwsServiceRoleForConfig** という名前のサービスにリンクされたロール AWS Config を使用します。このサービスにリンクされたロールを使用して、ユーザーに代わって他の AWS サービスを呼び出します。最新の更新を確認するには、「[AWS Config AWS 管理ポリシーの更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」を参照してください。

**AwsServiceRoleForConfig** サービスリンクロールは、`config.amazonaws.com` サービスを信頼し、ロールを引き受けます。

`AwsServiceRoleForConfig` ロールのアクセス許可ポリシーには、 AWS Config リソースの読み取り専用アクセス許可と書き込みアクセス許可、および が AWS Config サポートする他の サービスのリソースの読み取り専用アクセス許可が含まれています。**AwsServiceRoleForConfig** の管理ポリシーを確認するには、「[AWS ConfigのAWS 管理ポリシー](https://docs.aws.amazon.com/config/latest/developerguide/security-iam-awsmanpol.html#security-iam-awsmanpol-AWSConfigServiceRolePolicy)」を参照してください。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

でサービスにリンクされたロールを使用するには AWS Config、Amazon S3 バケットと Amazon SNS トピックに対するアクセス許可を設定する必要があります。詳細については[サービスでリンクされたロールの使用時に Amazon S3 バケットに必要なアクセス許可クロスアカウントの配信時に Amazon S3 バケットに必要なアクセス許可](s3-bucket-policy.md#required-permissions-using-servicelinkedrole)、[サービスにリンクされたロールを使用する場合の AWS KMS キーに必要なアクセス許可 (S3 バケット配信)](s3-kms-key-policy.md#required-permissions-s3-kms-key-using-servicelinkedrole)、および[サービスでリンクされたロールを使用する際 Amazon SNS トピックに必要なアクセス許可](sns-topic-policy.md#required-permissions-snstopic-using-servicelinkedrole)を参照してください。

## のサービスにリンクされたロールの作成 AWS Config
<a name="create-slr"></a>

IAM CLI または IAM API で、`config.amazonaws.com` サービス名でサービスリンクロールを作成します。詳細については、「IAM ユーザーガイド**」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## のサービスにリンクされたロールの編集 AWS Config
<a name="edit-slr"></a>

AWS Config では、**AwsServiceRoleForConfig** サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## のサービスにリンクされたロールの削除 AWS Config
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除しようとしたときに AWS Config サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

****AwsServiceRoleForConfig** で使用される AWS Config リソースを削除するには**

サービスにリンクされたロールを使用して、`ConfigurationRecorders` がないことを確認します。 AWS Config コンソールを使用して設定レコーダーを停止できます。記録を停止するには、**[Recording is on]** (記録はオン) の **[Turn off]** (無効) を選択します。

 AWS Config API `ConfigurationRecorder`を使用して を削除できます。削除するには、`delete-configuration-recorder` コマンドを使用します。

```
        $ aws configservice delete-configuration-recorder --configuration-recorder-name default
```

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、IAM CLI、または IAM API を使用して、AwsServiceRoleForConfig サービスリンクロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。