Amazon EFS でのサービスにサービスにサービスにリンクされたロールの使用 - Amazon Elastic File System
Amazon EFS でのサービスにサービスにリンクされたロールのアクセス許可Amazon EFS でのサービスにサービスにサービスにリンクされたロールの作成Amazon EFS でのサービスにサービスにサービスにリンクされたロールの編集Amazon EFS でのサービスにサービスにサービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon EFS でのサービスにサービスにサービスにリンクされたロールの使用

Amazon Elastic File System では AWS Identity and Access Management(IAM) サービスリンクロールを使用しています。Amazon EFS サービスリンクロールは、Amazon EFS に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは Amazon EFS によって事前定義されており、サービスがユーザーに代わって他の AWS のサービス を呼び出すために必要なすべての許可が含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon EFS の設定が簡単になります。Amazon EFS は、サービスにリンクされたロールのアクセス権限を定義します。Amazon EFS のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

Amazon EFS サービスにリンクされたロールを削除するには、最初に Amazon EFS ファイルシステムを削除する必要があります。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon EFS リソースを保護します。

サービスにリンクされたロールを使用すると、すべての API コールを AWS CloudTrail から表示できます。これがモニタリングと監査の要件を満たすのに役立つのは、Amazon EFS によってユーザーに代わって実行されるすべてのアクションを追跡できるためです。詳細については、「EFS サービスにリンクされたロールのログエントリ」を参照してください。

Amazon EFS でのサービスにサービスにリンクされたロールのアクセス許可

Amazon EFS は、AWSServiceRoleForAmazonElasticFileSystem というサービスにリンクされたロールを使用して、Amazon EFS が EFS ファイルシステムに代わって AWS リソースを呼び出し、管理できるようにします。

AWSServiceRoleForAmazonElasticFileSystem サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • elasticfilesystem.amazonaws.com

ロールのアクセス許可ポリシーにより、Amazon EFS はポリシー定義 JSON に含まれるアクションを実行することを IAN EFS に許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration"
            ],
            "Resource": "*"
        }
    ]
}
注記

保管時に暗号化される新しい Amazon EFS ファイルシステムを作成する場合は、AWS KMS の IAM アクセス許可を手動で設定する必要があります。詳細については、保管中のデータの暗号化 を参照してください。

Amazon EFS でのサービスにサービスにサービスにリンクされたロールの作成

サービスにリンクされたロールの作成を IAM エンティティユーザー、ロールなど) に許可するには、許可するアクセス許可を設定する必要があります。そのためには、次の例に示すように IAM エンティティ (アクセス許可)iam:CreateServiceLinkedRole に許可するアクセス許可を設定してください。

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": [
                "elasticfilesystem.amazonaws.com"
            ]
        }
    }
}

詳細については、「IAM ユーザーガイド」の「Service-Linked Role Permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

サービスにリンクされたロールを手動で作成する必要はありません。、またはAWS API で EFS ファイルシステムのマウントターゲットを作成するとAWS CLI、Amazon EFS はサービスリンクされたロールを作成してくれます。AWS Management Console

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。EFS ファイルシステムのマウントターゲットを作成すると、Amazon EFS によってサービスにリンクされたロールが再び作成されます。

Amazon EFS でのサービスにサービスにサービスにリンクされたロールの編集

Amazon EFS では、AWSServiceRoleForAmazonElasticFileSystem のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。

Amazon EFS でのサービスにサービスにサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしているときに Amazon EFS サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

によって使用される Amazon EFS リソースを削除するにはAWSServiceRoleForAmazonElasticFileSystem

によって使用される Amazon EFS リソースを削除するには、次のステップを実行しますAWSServiceRoleForAmazonElasticFileSystem。詳細な手順については、「リソースを AWS クリーンアップしてアカウントを保護する」を参照してください。

  1. Amazon EC2 インスタンスで、Amazon EFS ファイルシステムをアンマウントします。

  2. Amazon EFS ファイルシステムを削除。

  3. ファイルシステムのカスタムセキュリティグループを削除します。

    警告

    仮想プライベートクラウド (VPC) にデフォルトのセキュリティグループを使用した場合は、そのセキュリティグループを削除しないでください

IAM を使用してサービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonElasticFileSystem サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの削除」を参照してください。