Detective のサービスリンクロールの使用 - Amazon Detective
Detective のサービスリンクロールにおけるアクセス許可Detective のサービスリンクロールの作成Detective のサービスリンクロールの編集Detective のサービスリンクロールの削除Detective のサービスリンクロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Detective のサービスリンクロールの使用

Amazon Detective は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスリンクロールは、Detective に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Detective によって事前定義されており、サービスがユーザーに代わって他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスリンクロールを使用すると、必要な設定を手動で追加する必要がないため、 Detective の設定が簡単になります。Detective は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Detective のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、Detective リソースへの意図しないアクセスによる許可の削除が防止され、 リソースは保護されます。

サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」で「サービスリンクロール」列が「はい」になっているサービスを検索してください。サービスのサービスリンクロールに関するドキュメンテーションを表示するには、[Yes] (はい) リンクを選択します。

Detective のサービスリンクロールにおけるアクセス許可

Detective は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForDetective。これにより、Detective がユーザーに代わって AWS Organizations 情報にアクセスできるようになります。

AWSServiceRoleForDetective サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • detective.amazonaws.com

AWSServiceRoleForDetective サービスにリンクされたロールは、 マネージドポリシー を使用しますAmazonDetectiveServiceLinkedRolePolicy

AmazonDetectiveServiceLinkedRolePolicy ポリシーの更新の詳細については、「Amazon Detective updates to AWS managed policies」を参照してください。このポリシーの変更に関する自動アラートについては、Detective ドキュメント履歴ページの RSS フィードにサブスクライブしてください。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスリンクロールのアクセス権限) を参照してください。

Detective のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。、 AWS Management Console、 AWS CLIまたは AWS API で組織の Detective 管理者アカウントを指定すると、Detective によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。組織の Detective 管理者アカウントを指定すると、Detective により、サービスリンクロールが再び自動的に作成されます。

Detective のサービスリンクロールの編集

Detective では、 AWSServiceRoleForDetective サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Detective のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Detective のサービスでこのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

が使用する Detective リソースを削除するには AWSServiceRoleForDetective

  1. Detective 管理者アカウントを削除します。組織の Detective 管理者の指定 を参照してください。

  2. Detective 管理者アカウントを指定した各リージョンでこのプロセスを繰り返します。

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、、または AWS API を使用して AWS CLI、サービスにリンクされたロールを削除します AWSServiceRoleForDetective。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。

Detective のサービスリンクロールをサポートするリージョン

Detective は、Detective サービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。