翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Amazon FSx は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスリンクロールは、Amazon FSx に直接リンクされているユニークなタイプの IAM ロールです。サービスにリンクされたロールは Amazon FSx によって事前定義されており、ユーザーに代わってサービスが他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要な許可を手動で追加する必要がないため、Amazon FSx のセットアップが簡単になります。サービスリンクロールの許可は Amazon FSx が定義し、特に定義されない限り、Amazon FSx のみがそのロールを引き受けることができます。定義される許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他のIAM エンティティに添付することはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除しなければなりません。これは、リソースにアクセスするための許可を不用意に削除できないため、Amazon FSx リソースを保護できます。
サービスリンクロールをサポートする他のサービスについては、「IAM と連携するAWS サービス」を参照し、サービスリンクロール 列で [Yes] のあるサービスを探してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンク付きの「はい」を選択します。
Amazon FSx のサービスリンクロール許可
Amazon FSx は、[AWSServiceRoleForAmazonFSx] という名前のサービスにリンクされたロールを使用します。これは、VPC 内のファイルシステム用のエラスティックネットワークインターフェイスの作成や、CloudWatch 内のファイルシステムとボリュームのメトリクスの公開など、アカウント内で特定のアクションを実行します。
このポリシーの更新については、「AmazonFSxServiceRolePolicy」を参照してください
アクセス許可の詳細
アクセス許可の詳細
AWSServiceRoleForAmazonFSx ロールのアクセス許可は、AmazonFSxServiceRolePolicy AWS 管理ポリシーによって定義されます。AWSServiceRoleForAmazonFSx には以下のアクセス許可があります。
注記
AWSServiceRoleForAmazonFSx は、すべての Amazon FSx ファイルシステムタイプで使用されます。リストされたアクセス許可の一部は、FSx for ONTAP には適用されません。
-
ds– Amazon FSx が AWS Directory Service ディレクトリ内のアプリケーションを表示、認可、および認可解除できるようにします。 -
ec2- Amazon FSx に以下のことを許可します。Amazon FSx ファイルシステムに関連付けられたネットワークインターフェイスを表示、作成、および関連付け解除します。
Amazon FSx ファイルシステムに関連付けられた 1 つ以上の Elastic IP アドレスを表示します。
Amazon FSx ファイルシステムに関連付けられている Amazon VPC、セキュリティグループ、およびサブネットを表示します。
VPC で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化します。
ネットワークインターフェイスで特定のオペレーションを実行する権限を AWSに付与する。
-
cloudwatch– Amazon FSx がメトリクスデータポイントを AWS/FSx 名前空間の CloudWatch に発行できるようにします。 -
route53- Amazon FSx に Amazon VPC をプライベートホストゾーンに関連付けることを許可します。 -
logs- Amazon FSx が CloudWatch Logs のログストリーミングを記述して書き込むことを許可します。これは、ユーザーが FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを CloudWatch Logs ストリーミングに送信できるようにするためです。 -
firehose- Amazon FSx に Amazon Data Firehose 配信ストリームを記述して書き込むことを許可します。これは、ユーザーが Amazon FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを Amazon Data Firehose 配信ストリームに公開できるようにするためです。
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}本ポリシーの更新については、AWS マネージドポリシーに対する Amazon FSx の更新 に記載されています。
サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。
Amazon FSx のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS Management Console、IAM CLI、または IAM API でファイルシステムを作成すると、Amazon FSx によってサービスにリンクされたロールが作成されます。
重要
このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。サービスリンクロールは、ファイルシステムの作成時に Amazon FSx で自動的に再作成されます。
Amazon FSx のサービスにリンクされたロールの編集
Amazon FSx では、AWSServiceRoleForAmazonFSx サービスリンクロールを編集できません。サービスリンクロールの作成後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。
Amazon FSx のサービスリンクロールの削除
サービスにリンクされたロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、積極的にモニタリングまたは保守されない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを手動で削除する前に、すべての ファイルシステムおよびバックアップを削除する必要があります。
注記
リソースを削除しようとしたときに Amazon FSx サービスがロールを使用している場合は、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
IAM を使用してサービスリンクロールを手動で削除するには
IAM コンソール、IAM CLI、または IAM API を使用して、AWSServiceRoleForAmazonFSx サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
Amazon FSx サービスリンクロールがサポートされるリージョン
Amazon FSx は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。
