グローバルアクセラレータのサービスにリンクされたロール - AWS Global Accelerator
グローバルアクセラレータのサービスにリンクされたロールのアクセス許可グローバルアクセラレータのサービスにリンクされたロールの作成グローバルアクセラレータのサービスにリンクされたロールを編集するグローバルアクセラレータのサービスにリンクされたロールの削除サービスにリンクされたロールの更新グローバルアクセラレータサービスにリンクされたロールでサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

グローバルアクセラレータのサービスにリンクされたロール

AWS Global Accelerator は、AWS Identity and Access Management (IAM) を使用します。サービスにリンクされたロール。サービスにリンクされたロールは、サービスに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、サービスによって事前定義されており、お客様の代わりにサービスから他の AWS サービスを呼び出す必要のあるアクセス許可がすべて含まれています。

グローバルアクセラレータは、以下の IAM サービスにリンクされたロールを使用します。

  • AWSserviceRoleforGlobalアクセラレータ:グローバルアクセラレータは、このロールを使用して、グローバルアクセラレータがクライアントの IP アドレスの保存に必要なリソースを作成および管理できるようにします。

グローバルアクセラレータは、グローバルアクセラレータ API オペレーションをサポートするためにロールが最初に必要なときに、AWSServiceRoleForGlobalAccelerator という名前のロールを自動的に作成します。AWSServiceRoleForGlobalAccelerator ロールを使用すると、グローバルアクセラレータは、クライアントの IP アドレスの保存に必要なリソースを作成および管理することができます。この役割は、グローバルアクセラレータでアクセラレータを使用する場合に必要です。AWSServiceRoleForGlobalAccelerator ロールの ARN は次のようになります。

arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、グローバルアクセラレーターの設定や使用が簡単になります。グローバルアクセラレーターはそのサービスにリンクされたロールのアクセス許可を定義し、グローバルアクセラレーターのみがそのロールを引き受けることができます。定義されたアクセス権限には、信頼ポリシーとアクセス権限ポリシーが含まれます。アクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールを削除する前に、それらのロールに関連付けられているグローバルアクセラレータリソースを削除する必要があります。このようにして、アクティブなリソースにアクセスするためにまだ必要な、サービスにリンクされたロールが削除されないようにすることで、グローバルアクセラレータリソースが保護されます。

サービスにリンクされたロールをサポートしているその他のサービスの詳細については、」IAM と連携する AWS のサービスを持っているサービスを探しますはい()サービスにリンクされたロール列でロードバランサーの ID をクリックします。

グローバルアクセラレータのサービスにリンクされたロールのアクセス許可

グローバルアクセラレータは、AWSserviceRoleforGlobalアクセラレータ。以下のセクションでは、ロールのアクセス許可を説明します。

サービスにリンクされたロールのアクセス許可

このサービスリンクロールにより、Global Accelerator は EC2 Elastic Network インターフェイスとセキュリティグループを管理し、エラーの診断に役立ちます。

AWSServiceRoleForGlobalAccelerForGlobalAcceleroleForGlobalAcceleroleFor

  • globalaccelerator.amazonaws.com

ロールのアクセス許可ポリシーでは、ポリシーに示すように、グローバルアクセラレーターは、指定されたリソースで次のアクションを完了することができます。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

グローバルアクセラレーターサービスにリンクされたロールの削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「」を参照してください。サービスにリンクされたロールのアクセス権限()IAM ユーザーガイド

グローバルアクセラレータのサービスにリンクされたロールの作成

グローバルアクセラレータのサービスにリンクされたロールを手動で作成する必要はありません。アクセラレータを初めて作成すると、サービスによってロールが自動的に作成されます。グローバルアクセラレータリソースを削除し、サービスにリンクされたロールを削除した場合、新しいアクセラレータを作成すると、サービスは再び自動的にロールを作成します。

グローバルアクセラレータのサービスにリンクされたロールを編集する

グローバルアクセラレーターでは、AWSServiceRoleForGlobalAcceleroleForGlobalAcceleroleサービス サービスによってサービスにリンクされたロールが作成された後は、多くのエンティティでそのロールが参照されるため、そのロール名は変更できません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「」を参照してください。サービスにリンクされたロールの編集()IAM ユーザーガイド

グローバルアクセラレータのサービスにリンクされたロールの削除

グローバルアクセラレータを使用する必要がなくなった場合は、サービスにリンクされたロールを削除することをお勧めします。そうすることで、アクティブにモニタリングやメンテナンスがされていない不要なエンティティがなくなります。ただし、ロールを手動で削除する前に、アカウントのグローバルアクセラレーターリソースをクリーンアップする必要があります。

アクセラレータを無効にして削除したら、サービスにリンクされたロールを削除できます。アクセラレータの削除の詳細については、」 標準アクセラレータの作成または更新

注記

アクセラレーターを無効にして削除しても、グローバルアクセラレーターによる更新が完了していない場合、サービスにリンクされたロールの削除は失敗することがあります。発生した場合は、数分待ってから、サービスにリンクされたロールの削除手順をもう一度試してください。

AWSServiceRoleForGlobalAccelerator サービスにリンクされたロールを手動で削除するには

  1. AWS マネジメントコンソールにサインインして、IAM コンソール (https://console.aws.amazon.com/iam/) を開きます。

  2. IAM コンソールのナビゲーションペインで [ロール] を選択します。ロール名または行そのものではなく、削除するロール名の横にあるチェックボックスをオンにします。

  3. ページ上部にある [ロールのアクション] で [ロールの削除] を選択します。

  4. 確認ダイアログボックスで、サービスの最終アクセス時間データを確認します。これは、選択したそれぞれのロールの AWS のサービスへの最終アクセス時間を示します。これは、そのロールが現在アクティブであるかどうかを確認するのに役立ちます。先に進む場合は、[Yes, Delete] を選択し、削除するサービスにリンクされたロールを送信します。

  5. IAM コンソール通知を見て、サービスにリンクされたロールの削除の進行状況を監視します。IAM サービスにリンクされたロールの削除は非同期であるため、削除するロールを送信すると、削除タスクは成功または失敗する可能性があります。詳細については、「」を参照してください。サービスにリンクされたロールの削除()IAM ユーザーガイド

グローバルアクセラレータサービスリンクロール(AWS 管理ポリシー)の更新

このサービスがこれらの変更の追跡を開始してから、のサービスリンクロールの更新に関する詳細を表示します。このページの変更に関する自動アラートについては、AWS Global Accelerator の RSS フィードを購読してくださいドキュメント履歴ページで.

変更 説明 日付

AWSserviceRoleforGlobalアクセラレータ— ポリシーの更新

グローバルアクセラレータは、グローバルアクセラレータでエラーを診断するための新しいアクセス許可を追加しました。

グローバルアクセラレータはec2:DescribeRegionsを使用して、お客様がいる AWS リージョンを特定します。これは、Global Accelerator がエラーのトラブルシューティングに役立ちます。

 2021年5月18日

グローバルアクセラレータが変更の追跡を開始しました

Global Accelerator が AWS 管理ポリシーの変更の追跡を開始しました。

 2021年5月18日

グローバルアクセラレータサービスにリンクされたロールでサポートされているリージョン

グローバルアクセラレータは、グローバルアクセラレータがサポートされている AWS リージョンで、サービスにリンクされたロールの使用をサポートします。

グローバルアクセラレーターやその他のサービスが現在サポートされている AWS リージョンのリストについては、AWS リージョン表