Amazon Managed Grafana のサービスにリンクされたロールのアクセス許可 Amazon Managed Grafana のサービスにリンクされたロールの作成 Amazon Managed Grafana のサービスにリンクされたロールの編集 Amazon Managed Grafana のサービスにリンクされたロールの削除 Amazon Managed Grafana サービスにリンクされたロールでサポートされているリージョン

Amazon Managed Grafana のサービスにリンクされたロールの使用

Amazon Managed Grafana は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon Managed Grafana に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Amazon Managed Grafana によって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon Managed Grafana の設定が簡単になります。Amazon Managed Grafana は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Amazon Managed Grafana のみがそのロールを引き受けることができます。定義したアクセス許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、Amazon Managed Grafana リソースへのアクセス許可が誤って削除されないため、Amazon Managed Grafana リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連動するAWS のサービス」を参照し、Service-linked roles (サービスにリンクされたロール) の列内で Yes (はい) と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

Amazon Managed Grafana のサービスにリンクされたロールのアクセス許可

Amazon Managed Grafana は、という名前のサービスにリンクされたロールを使用しますAmazonManagedGrafana。Amazon Managed Grafana はこのロールを使用して、カスタマーアカウント内で ENIsや Secrets Manager シークレットなどのリソースを作成および設定します。 AmazonManagedGrafana サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

grafana.amazonaws.com

AmazonManagedGrafana サービスにリンクされたロールはAmazonGrafanaServiceLinkedRolePolicyポリシーにアタッチされます。このポリシーの更新については、「マネージド AWS ポリシーに対する Amazon Managed Grafana の更新」を参照してください

ロールのアクセス許可ポリシーにより、Amazon Managed Grafana は指定されたリソースに対して以下のアクションを実行できます。


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterface",
            "Resource": "*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "AmazonGrafanaManaged"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "Null": {
                    "aws:RequestTag/AmazonGrafanaManaged": "false"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteNetworkInterface",
            "Resource": "*",
            "Condition": {
                "Null": {
                    "ec2:ResourceTag/AmazonGrafanaManaged": "false"
                }
            }
        }
    ]
}

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Amazon Managed Grafana のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。、 AWS Management Console、 AWS CLIまたは AWS API VpcConfiguration で CreateWorkspace を使用してを呼び出すと、Amazon Managed Grafana によってサービスにリンクされたロールが作成されます。

重要

このサービスリンクロールは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、2022 年 11 月 30 日より前に Amazon Managed Grafana サービスを使用していた場合、サービスにリンクされたロールのサポートが開始されると、Amazon Managed Grafana はアカウントに AmazonManagedGrafana ロールを作成しました。詳細については、「AWS アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。 CreateWorkspace でを呼び出すと VpcConfiguration、Amazon Managed Grafana によってサービスにリンクされたロールが再度作成されます。

IAM コンソールを使用して、Grafana ユースケースでサービスにリンクされたロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用してgrafana.amazonaws.comサービスにリンクされたロールを作成します。詳細については、『IAM ユーザーガイド』の「サービスにリンクされたロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

Amazon Managed Grafana のサービスにリンクされたロールの編集

Amazon Managed Grafana では、 AmazonManagedGrafana サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Amazon Managed Grafana のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに Amazon Managed Grafana サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

で使用される Amazon Managed Grafana リソースを削除するには AmazonManagedGrafana

Region AWS コンソールで のすべてのワークスペースビューに移動します。
内のすべてのワークスペースを削除しますRegion。各ワークスペースのラジオボタンを確認し、すべてのワークスペースビューの右上にある削除ボタンを選択する必要があります。すべてのワークスペースがから削除されるまで、各ワークスペースの削除を繰り返しますRegion。Amazon Managed Grafana でワークスペースを削除する方法の詳細については、このユーザーガイドの「ワークスペースの削除」トピックを参照してください。

注記

ワークスペースがある各 AWS リージョンに対してこの手順を繰り返します。サービスにリンクされたロールを削除する前に、すべてのリージョンのすべてのワークスペースを削除する必要があります。

サービスにリンクされたロールを IAM で手動削除するには

IAM コンソール、、または AWS API を使用して AWS CLI、サービスにリンクされたロールを削除します AmazonManagedGrafana。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Amazon Managed Grafana サービスにリンクされたロールでサポートされているリージョン

Amazon Managed Grafana は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「AWS リージョンとエンドポイント」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

サービス間の混乱した代理の防止

他のサービスのアクセス許可とポリシー AWS