翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
AWS DataSync は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、DataSync に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは DataSync によって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、DataSync の設定が簡単になります。DataSync は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、DataSync のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンク役割はまずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、DataSync リソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「IAM と連携する のサービス」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
DataSync のサービスリンクロールの許可
DataSync は、AWSServiceRoleForDataSyncDiscovery という名前のサービスにリンクされたロールを使用します。これにより、DataSync Discovery は AWS Secrets Manager と Amazon CloudWatch を使用できます。
AWSServiceRoleForDataSyncDiscovery サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
-
discovery-datasync.amazonaws.com
AWSDataSyncDiscoveryServiceRolePolicy という名前のロールアクセス許可ポリシーは、DataSync が指定されたリソースに対して次のアクションを実行することを許可します。
{
"Version": "2012-10-17",
"Statement": [{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue"
],
"Resource": [
"arn:*:secretsmanager:*:*:secret:datasync!*"
],
"Condition": {
"StringEquals": {
"secretsmanager:ResourceTag/aws:secretsmanager:owningService": "datasync",
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync*"
]
},
{
"Effect": "Allow",
"Action": [
"logs:PutLogEvents"
],
"Resource": [
"arn:*:logs:*:*:log-group:/aws/datasync:log-stream:*"
]
}
]
}ユーザー、グループ、ロールなどがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、 IAM ユーザーガイド の「サービスリンクロールのアクセス許可」を参照してください。
DataSync のサービスリンクロールの作成
サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは AWS API にストレージシステムを追加すると、DataSync によってサービスにリンクされたロールが作成されます。
IAM コンソールを使用して、DataSync Discovery ユースケースでサービスリンクロールを作成することもできます。 AWS CLI または AWS API で、IAM を使用してサービスdiscovery-datasync.amazonaws.com名でサービスにリンクされたロールを作成します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
このサービスリンク役割を削除した後で再度作成する必要が生じた場合は同じ方法でアカウントに役割を再作成できます。ストレージシステムを追加すると、DataSync によってサービスリンクロールが再作成されます。
このサービスにリンクされたロールを削除する場合、この同じ IAM プロセスを使用して、もう一度ロールを作成できます。
DataSync のサービスリンクロールの編集
DataSync では、AWSServiceRoleForDataSyncDiscovery サービスにリンクされたロールを編集することはできません。サービスにリンクされた役割を作成すると、多くのエンティティによって役割が参照される可能性があるため、役割名を変更することはできません。ただし、IAM を使用した役割の説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
DataSync のサービスリンクロールの削除
サービスリンク役割が必要な機能またはサービスが不要になった場合にはその役割を削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除する際に、DataSync のサービスでロールが使用されている場合、削除が失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForDataSyncDiscovery ロールによって使用されている DataSync リソースを削除するには
-
DataSync Discovery で使用しているオンプレミスのストレージシステムを削除します。
-
IAM を使用して、サービスにリンクされたロールを削除します。
IAM コンソール、 AWS CLI、または AWS API を使用して、
AWSServiceRoleForDataSyncDiscoveryサービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。
DataSync サービスにリンクされたロールでサポートされているリージョン
DataSync は、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。
DataSync は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForDataSyncDiscovery ロールは、次のリージョンで使用できます。
