AWS Health のサービスにリンクされたロールの使用 - AWS Health
AWS Health のサービスリンクロールのアクセス許可AWS Health のサービスリンクロールの作成AWS Health のサービスにリンクされたロールの編集AWS Health のサービスリンクロールの削除

AWS Health のサービスにリンクされたロールの使用

AWS Health では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、AWS Health に直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、AWS Health によって事前に定義されたロールであり、お客様から他の AWS のサービス を呼び出すために必要なすべてのアクセス許可を備えています。

サービスリンクロールを使用して、AWS Health を設定すると、必要なアクセス許可を手動で追加することを避けることができます。AWS Health はサービスにリンクされたロールのアクセス許可を定義し、別途定義されている場合を除き、AWS Health のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

AWS Health のサービスリンクロールのアクセス許可

AWS Health には 2 つのサービスリンクロールがあります。

  • AWSServiceRoleForHealth_Organizations — このロールはAWS Health (health.amazonaws.com) を信頼し、ユーザーに代わってAWS のサービスをアクセスするロールを引き受けます。このロールには、Health_OrganizationsServiceRolePolicy AWSマネージドポリシーがアタッチされます。

  • AWSServiceRoleForHealth_EventProcessor – このロールは、ロールを引き受ける上でAWS Healthサービスプリンシパル (event-processor.health.amazonaws.com) を信頼します。このロールには、AWSHealth_EventProcessorServiceRolePolicy AWSマネージドポリシーがアタッチされます。サービスプリンシパルはロールを使用して、AWSインシデント検出と対応用の Amazon EventBridge マネージドルールを作成します。このルールは、AWS アカウントでアラーム状態変化情報をアカウントからAWS Healthに配信するために必要なインフラストラクチャです。

AWSマネージドポリシーの詳細については、「AWS の AWS Health マネージドポリシー」を参照してください。

AWS Health のサービスリンクロールの作成

AWSServiceRoleForHealth_Organizations サービスリンクロールを手動で作成する必要はありません。EnableHealthServiceAccessForOrganization オペレーションを呼び出すと、AWS Health によってアカウントのこのサービスリンクロールが作成されます。

AWSServiceRoleForHealth_EventProcessor サービスリンクロールはアカウントに手動で作成される必要があります。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。

AWS Health のサービスにリンクされたロールの編集

AWS Health では、このサービスリンクロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、IAM ユーザーガイドの「サービスリンクロールの編集」を参照してください。

AWS Health のサービスリンクロールの削除

AWSServiceRoleForHealth_Organizationsロールを削除する場合は、まずDisableHealthServiceAccessForOrganization オペレーションを呼び出す必要があります。その後、IAM コンソール、IAM API、または AWS Command Line Interface (AWS CLI) を使用してロールを削除できます。

AWSServiceRoleForHealth_EventProcessorロールを削除するには、AWS Supportに問い合わせて、AWSインシデント検出と対応からワークロードをオフボードするよう依頼してください。この処理の完了後、IAM コンソール、IAM API、またはAWS CLIを使用してロールを削除できます。

詳細については、IAM ユーザーガイドの「サービスリンクロールの使用」を参照してください。