Amazon のサービスにリンクされたロールの使用 FSx - Amazon FSx for Windows File Server
Amazon のサービスにリンクされたロールのアクセス許可 FSxAmazon のサービスにリンクされたロールの作成 FSxAmazon のサービスにリンクされたロールの編集 FSxAmazon のサービスにリンクされたロールの削除 FSxAmazon FSxのサービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon のサービスにリンクされたロールの使用 FSx

Amazon FSx for Windows File Server は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon に直接リンクされた一意のタイプのIAMロールですFSx。サービスにリンクされたロールは Amazon によって事前定義FSxされており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon の設定FSxが簡単になります。Amazon は、サービスにリンクされたロールのアクセス許可FSxを定義します。特に定義されている場合を除き、Amazon のみがそのロールを引き受けFSxることができます。定義されるアクセス権限には、信頼ポリシーやアクセス権限ポリシーなどがあり、そのアクセス権限ポリシーをその他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、FSxリソースにアクセスするアクセス許可を誤って削除することがないため、Amazon リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「 と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Amazon のサービスにリンクされたロールのアクセス許可 FSx

Amazon FSxは、 AWSServiceRoleForAmazonFSx という名前のサービスにリンクされたロールを使用します。これにより、 でファイルシステム用の Elastic Network Interface を作成するなど、アカウントで特定のアクションを実行しますVPC。

ロールのアクセス許可ポリシーはFSx、Amazon が該当するすべての AWS リソースに対して以下のアクションを実行することを許可します。

IAM エンティティmazonFSxServiceRolePolicy に A をアタッチすることはできません。このポリシーは、 がユーザーに代わって AWS リソースを管理できるようにするサービスにリンクされたロールFSxにアタッチされます。詳細については、「Amazon のサービスにリンクされたロールの使用 FSx」を参照してください。

このポリシーの更新については、「AmazonFSxServiceRolePolicy」を参照してください

このポリシーは、 がユーザーに代わって AWS リソースを管理FSxできるようにする管理アクセス許可を付与します。

アクセス許可の詳細

A mazonFSxServiceRolePolicy ロールのアクセス許可は、A mazonFSxServiceRolePolicy AWS 管理ポリシーによって定義されます。には次のアクセス許可mazonFSxServiceRolePolicy があります。

注記

mazonFSxServiceRolePolicy は、すべての Amazon FSx ファイルシステムタイプで使用されます。リストされているアクセス許可の一部はFSx、 for Windows に適用されない場合があります。

  • ds – AWS Directory Service ディレクトリ内のアプリケーションを表示、認可、および認可解除することを FSxに許可します。

  • ec2 – が以下を実行FSxできるようにします。

    • Amazon FSx ファイルシステムに関連付けられたネットワークインターフェイスを表示、作成、関連付け解除します。

    • Amazon FSx ファイルシステムに関連付けられている 1 つ以上の Elastic IP アドレスを表示します。

    • Amazon FSx ファイルシステムに関連付けられた Amazon VPCs、セキュリティグループ、サブネットを表示します。

    • で使用できるすべてのセキュリティグループのセキュリティグループ検証を強化するにはVPC。

    • ネットワークインターフェイスで特定のオペレーションを実行するためのアクセス許可を AWS、 が許可するユーザーに作成します。

  • cloudwatch – FSxがメトリクスデータポイントを AWS/FSx 名前空間の CloudWatch に発行できるようにします。

  • route53 – Amazon をプライベートホストゾーンに関連付けるVPCことを FSxに許可します。

  • logs – FSxログ CloudWatch ログストリームを記述して書き込むことを に許可します。これは、ユーザーが FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを CloudWatch Logs ストリームに送信できるようにするためです。

  • firehose – FSxが Amazon Data Firehose 配信ストリームを記述して書き込むことを許可します。これは、ユーザーが FSx for Windows File Server ファイルシステムのファイルアクセス監査ログを Amazon Data Firehose 配信ストリームに発行できるようにするためです。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

本ポリシーの更新については、Amazon FSx の AWS マネージドポリシーへの更新 に記載されています。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon のサービスにリンクされたロールの作成 FSx

サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、CLIまたは IAM でファイルシステムを作成するとAPI、Amazon IAM によってサービスにリンクされたロールFSxが作成されます。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。ファイルシステムを作成すると、Amazon によってサービスにリンクされたロールが再度FSx作成されます。

Amazon のサービスにリンクされたロールの編集 FSx

Amazon FSx では、サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。 IAM

Amazon のサービスにリンクされたロールの削除 FSx

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。これにより、積極的にモニタリングまたは保守されない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを手動で削除する前に、すべてのファイルシステムとバックアップを削除する必要があります。

注記

リソースを削除しようとしたときに Amazon FSxサービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、CLI、または IAM IAMAPIを使用して、サービスにリンクされたロールを削除します。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Amazon FSxのサービスにリンクされたロールでサポートされているリージョン

Amazon は、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用FSxをサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。