Amazon Managed Grafana のサービスリンクロールの使用 - Amazon Managed Grafana
Amazon Managed Grafana 向けのサービスリンクロールのアクセス許可Amazon Managed Grafana のサービスリンクロールの作成Amazon Managed Grafana のサービスリンクロールの編集Amazon Managed Grafana のサービスリンクロールの削除Amazon Managed Grafana サービスリンクロールがサポートされるリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Managed Grafana のサービスリンクロールの使用

Amazon Managed Grafana は、AWS Identity and Access Management(IAM) サービスリンクロールを使用します。サービスにリンクされたロールは、Amazon Managed Grafana に直接リンクされた特殊な IAM ロールです。サービスリンクロールは Amazon Managed Grafana によって事前に定義されており、サービスがユーザーに代わって AWS のその他サービスを呼び出すために必要なすべての許可が含まれています。

必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Managed Grafana のセットアップを容易にします。サービスリンクロールの許可は Amazon Managed Grafana が定義し、別段の定義がない限り、Amazon Managed Grafana のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon Managed Grafana リソースを保護します。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動する AWS のサービス」を参照し、Service-linked roles (サービスにリンクされたロール) の列内で はい と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[あり] (はい) リンクを選択します。

Amazon Managed Grafana 向けのサービスリンクロールのアクセス許可

Amazon Managed Grafana は、AmazonManagedGrafana という名前のサービスリンクロールを使用します。Amazon Managed Grafana は、このロールを使用して、カスタマーアカウント内で ENIsや Secrets Manager シークレットなどのリソースを作成および設定します。AmazonManagedGrafana サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • grafana.amazonaws.com

AmazonManagedGrafana サービスにリンクされたロールがAmazonGrafanaServiceLinkedRolePolicyポリシーにアタッチされます。このポリシーの更新については、「AWS マネージドポリシーへの Amazon Managed Grafana の更新」を参照してください

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon Managed Grafana に許可します。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterface",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "AmazonGrafanaManaged"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "Null": {
                    "aws:RequestTag/AmazonGrafanaManaged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteNetworkInterface",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "ec2:ResourceTag/AmazonGrafanaManaged": "false"
                }
            }
        }
    ]
}

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM User Guide(IAM ユーザーガイド)」「Service-linked role permissions 」 を参照してください。

Amazon Managed Grafana のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API でVpcConfiguration を使用して CreateWorkspace を呼び出すと、Amazon Managed Grafana によってサービスリンクロールが作成されます。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、サービスにリンクされたロールのサポートが開始された 2022 年 11 月 30 日より前に Amazon Managed Grafana サービスを使用していた場合、Amazon Managed Grafana はアカウントにおいて AmazonManagedGrafana ロールを作成しました。詳細については、IAM アカウントに新しいロールが表示されるを参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。VpcConfiguration を使用して CreateWorkspace を呼び出すと、Amazon Managed Grafana はサービスリンクロールを再度作成します。

Grafana ユースケースでサービスリンクロールを作成するには、IAM コンソールも使用できます。AWS CLI または AWS API では、grafana.amazonaws.com サービス名を使用してサービスにリンクされたロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

Amazon Managed Grafana のサービスリンクロールの編集

Amazon Managed Grafana では、AmazonManagedGrafana サービスリンクロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」「サービスリンクロールの編集」を参照してください。

Amazon Managed Grafana のサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしているときに Amazon Managed Grafana サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

AmazonManagedGrafana で使用される Amazon Managed Grafana リソースを削除するには

  1. AWS コンソールの Region[すべてのワークスペース] ビューに移動します。

  2. Region 内のすべてのワークスペースを削除します。各ワークスペースのラジオボタンを確認し、[すべてのワークスペース] ビューの右上にある [削除] ボタンを選択する必要があります。すべてのワークスペースが Region から削除されるまで、各ワークスペースの削除を繰り返します。Amazon Managed Grafana でワークスペースを削除する方法の詳細については、このユーザーガイドの「ワークスペースの削除」を参照してください。

注記

ワークスペースがある各 AWS リージョン に対してこの手順を繰り返します。ただし、サービスリンクロールを削除する前に、[すべてのリージョンの]すべてのワークスペースを削除する必要があります。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AmazonManagedGrafana サービスリンクロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

Amazon Managed Grafana サービスリンクロールがサポートされるリージョン

Amazon Managed Grafana は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS リージョンとエンドポイント」を参照してください。