翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Keyspaces のサービスリンクロールの使用
Amazon Keyspaces (Apache Cassandra 用) は、 AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Amazon Keyspaces に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは Amazon Keyspaces によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**Topics**
+ [Amazon Keyspaces アプリケーションの自動スケーリングにロールを使用](using-service-linked-roles-app-auto-scaling.md)
+ [Amazon Keyspaces のマルチリージョンレプリケーションでのロールの使用](using-service-linked-roles-multi-region-replication.md)
+ [Amazon Keyspaces CDC ストリームのロールの使用](using-service-linked-roles-CDC-streams.md)
# Amazon Keyspaces アプリケーションの自動スケーリングにロールを使用
Amazon Keyspaces (Apache Cassandra 用) は、 AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Amazon Keyspaces に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは Amazon Keyspaces によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Keyspaces のセットアップを容易にします。サービスリンクロールの許可は Amazon Keyspaces が定義し、特に定義されない限り、Amazon Keyspaces のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これは、リソースにアクセスするための許可を不用意に削除できないため、Amazon Keyspaces リソースを保護できます。
## Amazon Keyspaces のサービスリンクロール権限
Amazon Keyspaces では、**AWSServiceRoleForApplicationAutoScaling\$1CassandraTable** という名前のサービスリンクロールを使用して、ユーザーに代わってアプリケーションオートスケーリングにより Amazon Keyspaces と Amazon CloudWatch が呼び出されるようにします。
AWSServiceRoleForApplicationAutoScaling\$1CassandraTable サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `cassandra.application-autoscaling.amazonaws.com`
このロール権限ポリシーは、アプリケーションオートスケーリングにより、指定された Amazon Keyspaces リソースで以下のアクションが実行されるようにします。
+ アクション: `cassandra:Select`。対象リソース: `arn:*:cassandra:*:*:/keyspace/system/table/*`
+ アクション: リソース `arn:*:cassandra:*:*:/keyspace/system_schema/table/*` での `cassandra:Select`
+ アクション: リソース `arn:*:cassandra:*:*:/keyspace/system_schema_mcs/table/*` での `cassandra:Select`
+ アクション: リソース `arn:*:cassandra:*:*:"*"` での `cassandra:Alter`
## Amazon Keyspaces 向けのサービスリンクロールの作成
Amazon Keyspaces のオートスケーリング用のサービスリンクロールについては、手動で作成する必要はありません。、CQL AWS マネジメントコンソール、、 AWS CLIまたは AWS API を使用してテーブルで Amazon Keyspaces 自動スケーリングを有効にすると、Application Auto Scaling によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。テーブルで Amazon Keyspaces の自動スケーリングを有効にすると、Application Auto Scaling が再びサービスリンクロールを自動作成します。
**重要**
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、[「新しいロールが AWS アカウント](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
## Amazon Keyspaces のサービスリンクロールの編集
Amazon Keyspaces では、サービスリンクロール AWSServiceRoleForApplicationAutoScaling\$1CassandraTable を編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon Keyspaces のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、サービスにリンクされたロールを手動で削除する AWS リージョン には、まずアカウント内のすべてのテーブルですべてのテーブルの自動スケーリングを無効にする必要があります。Amazon Keyspaces テーブルのオートスケーリングを無効にするには、「[テーブルの Amazon Keyspaces 自動スケーリングを無効にする](autoscaling.turnoff.md)」を参照してください。
**注記**
リソースの変更を試みた時点で、Amazon Keyspaces のオートスケーリングでロールが使用されていると、登録解除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
**IAM を使用してサービスリンクロールを手動で削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForApplicationAutoScaling\$1CassandraTable サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
**注記**
Amazon Keyspaces のオートスケーリングで使用されたサービスリンクロールを削除するには、まずアカウント内のすべてのテーブルでオートスケーリングを無効にする必要があります。
## Amazon Keyspaces サービスにリンクされたロールのサポートされているリージョン
Amazon Keyspaces は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、[「Service endpoints for Amazon Keyspaces」](https://docs.aws.amazon.com/keyspaces/latest/devguide/programmatic.endpoints.html)(Amazon Keyspaces のサービスエンドポイント) を参照してください。
# Amazon Keyspaces のマルチリージョンレプリケーションでのロールの使用
Amazon Keyspaces (Apache Cassandra 用) は、 AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Amazon Keyspaces に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは Amazon Keyspaces によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Keyspaces のセットアップを容易にします。サービスリンクロールの許可は Amazon Keyspaces が定義し、特に定義されない限り、Amazon Keyspaces のみがそのロールを引き受けることができます。定義されるアクセス許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、まずその関連リソースを削除します。これは、リソースにアクセスするための許可を不用意に削除できないため、Amazon Keyspaces リソースを保護できます。
## Amazon Keyspaces のサービスリンクロール権限
Amazon Keyspaces は、**AWSServiceRoleForAmazonKeyspacesReplication** という名前のサービスにリンクされたロールを使用して、Amazon Keyspaces がユーザーに代わってキースペース AWS リージョン に新しい を追加し、テーブルとそのすべてのデータと設定を新しいリージョンにレプリケートできるようにします。このロールでは、Amazon Keyspaces がユーザーに代わってすべてのリージョンのテーブルへの書き込みをレプリケートすることもできます。
AWSServiceRoleForAmazonKeyspacesReplication サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `replication.cassandra.amazonaws.com`
KeyspacesReplicationServiceRolePolicy という名前のロールのアクセス許可ポリシーは、以下のアクションを実行することを Amazon Keyspaces に許可します。
+ アクション: `cassandra:Select`
+ アクション: `cassandra:SelectMultiRegionResource`
+ アクション: `cassandra:Modify`
+ アクション: `cassandra:ModifyMultiRegionResource`
+ アクション: `cassandra:AlterMultiRegionResource`
+ アクション: `application-autoscaling:RegisterScalableTarget` – Amazon Keyspaces は、Auto Scaling が有効になっているプロビジョニングモードで単一のリージョンテーブルにレプリカを追加するときに、アプリケーションの Auto Scaling アクセス許可を使用します。
+ アクション: `application-autoscaling:DeregisterScalableTarget`
+ アクション: `application-autoscaling:DescribeScalableTargets`
+ アクション: `application-autoscaling:PutScalingPolicy`
+ アクション: `application-autoscaling:DescribeScalingPolicies`
+ アクション: `cassandra:Alter`
+ アクション: `cloudwatch:DeleteAlarms`
+ アクション: `cloudwatch:DescribeAlarms`
+ アクション: `cloudwatch:PutMetricAlarm`
Amazon Keyspaces esのサービスにリンクされたロール AWSServiceRoleForAmazonKeyspacesReplication は、ポリシーで指定された Amazon リソースネーム (ARN)「arn: \$1」に対するアクセス権「アクション:」を提供しますが、Amazon Keyspaces はアカウントの ARN を提供します。
サービスにリンクされたロール AWSServiceRoleForAmazonKeyspacesReplication を作成するアクセス許可は、 `AmazonKeyspacesFullAccess`マネージドポリシーに含まれています。詳細については、「[AWS マネージドポリシー: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess)」を参照してください。
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
## Amazon Keyspaces 向けのサービスリンクロールの作成
サービスにリンクされたロールは手動で作成できません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API でマルチリージョンキースペースを作成すると、Amazon Keyspaces によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。マルチリージョンキースペース を作成すると、Amazon Keyspaces によってサービスにリンクされたロールが再度作成されます。
## Amazon Keyspaces のサービスリンクロールの編集
Amazon Keyspaces では、AWSServiceRoleForAmazonKeyspacesReplication というサービスにリンクされたロールを編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon Keyspaces のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、サービスにリンクされたロールを手動で削除する AWS リージョン には、まずアカウント内のすべてのマルチリージョンキースペースをすべて削除する必要があります。
### サービスリンクロールのクリーンアップ
IAM を使用してサービスにリンクされたロールを削除するには、最初に、そのロールで使用されているマルチリージョンキースペースとテーブルをすべて削除する必要があります。
**注記**
リソースを削除しようとしているときに Amazon Keyspaces サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
**AWSServiceRoleForAmazonKeyspacesReplication (コンソール) が使用している Amazon Keyspaces リソースを削除するには**
1. にサインインし AWS マネジメントコンソール、[https://console.aws.amazon.com/keyspaces/home](https://console.aws.amazon.com/keyspaces/home) で Amazon Keyspaces コンソールを開きます。
1. 左側のパネルから [**Keyspaces**] を選択します。
1. リストからマルチリージョンキースペースをすべて選択します。
1. [**削除**] を選択して削除を確認し、[**キースペースを削除**] を選択します。
次のいずれかの方法で、マルチリージョンキースペースをプログラムで削除することもできます。
+ Cassandra クエリ言語 (CQL) [DROP KEYSPACE](cql.ddl.keyspace.md#cql.ddl.keyspace.drop) ステートメント
+ CLI の [delete-keyspace](https://docs.aws.amazon.com/cli/latest/reference/keyspaces/delete-keyspace.html) AWS オペレーション。
+ Amazon Keyspaces API の [DeleteKeyspace](https://docs.aws.amazon.com/keyspaces/latest/APIReference/API_DeleteKeyspace.html) 操作。
### サービスリンク役割の手動による削除
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonKeyspacesReplication サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Amazon Keyspaces サービスにリンクされたロールのサポートされているリージョン
Amazon Keyspaces は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。AWSServiceRoleForAmazonKeyspacesReplication ロールは、以下のリージョンで使用できます。
****
| リージョン名 | リージョン識別子 | Amazon Keyspaces でのサポート |
| --- | --- | --- |
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| アフリカ (ケープタウン) | af-south-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (米国東部) | us-gov-east-1 | いいえ |
| AWS GovCloud (米国西部) | us-gov-west-1 | いいえ |
# Amazon Keyspaces CDC ストリームのロールの使用
Amazon Keyspaces (Apache Cassandra 用) は、 AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Amazon Keyspaces に直接リンクされた特殊なタイプの IAM ロールです。サービスにリンクされたロールは Amazon Keyspaces によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Keyspaces のセットアップを容易にします。サービスリンクロールの許可は Amazon Keyspaces が定義し、特に定義されない限り、Amazon Keyspaces のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスにリンクされたロールは削除できません。
## Amazon Keyspaces のサービスリンクロール権限
Amazon Keyspaces は、**AWSServiceRoleForAmazonKeyspacesCDC** という名前のサービスにリンクされたロールを使用して、Amazon Keyspaces CDC ストリームがユーザーに代わって CloudWatch メトリクスをアカウントに発行できるようにします。
AWSServiceRoleForAmazonKeyspacesCDC サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `cassandra-streams.amazonaws.com`
[KeyspacesCDCServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/KeyspacesCDCServiceRolePolicy.html) という名前のロールアクセス許可ポリシーにより、Amazon Keyspaces は CloudWatch 名前空間 のリソースに対して次のアクションを実行できます`AWS/Cassandra`。
+ アクション: `cloudwatch:PutMetricData`。対象リソース: `*`
AWSServiceRoleForAmazonKeyspacesCDC には、次の条件に一致するすべてのリソースに対するアクセス許可 Action: cloudwatch:PutMetricData が用意されています。 `"cloudwatch:namespace": "AWS/Cassandra"`
KeyspacesCDCServiceRolePolicy の詳細については、「」を参照してください[AWS マネージドポリシー: KeyspacesCDCServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-KeyspacesCDCServiceRolePolicy)。
サービスにリンクされたロール AWSServiceRoleForAmazonKeyspacesCDC を自動的に作成するテーブルの CDC ストリームを有効にするには、IAM プリンシパルに次のアクセス許可が必要です。
```
{
"Sid": "KeyspacesCDCServiceLinkedRole",
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/cassandra-streams.amazonaws.com/AWSServiceRoleForAmazonKeyspacesCDC",
"Condition": {
"StringLike": {
"iam:AWSServiceName": "cassandra-streams.amazonaws.com"
}
}
```
サービスにリンクされたロール AWSServiceRoleForAmazonKeyspacesCDC を作成するアクセス許可は、 `AmazonKeyspacesFullAccess`マネージドポリシーに含まれています。詳細については、「[AWS マネージドポリシー: AmazonKeyspacesFullAccess](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonKeyspacesFullAccess)」を参照してください。
## Amazon Keyspaces 向けのサービスリンクロールの作成
Amazon Keyspaces CDC ストリームのサービスにリンクされたロールを手動で作成する必要はありません。、CQL AWS マネジメントコンソール、、 AWS CLIまたは AWS API を使用してテーブルで Amazon Keyspaces CDC ストリームを有効にすると、Amazon Keyspaces によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。テーブルの Amazon Keyspaces CDC ストリームを有効にすると、Amazon Keyspaces によってサービスにリンクされたロールが再度作成されます。
## Amazon Keyspaces のサービスリンクロールの編集
Amazon Keyspaces では、AWSServiceRoleForAmazonKeyspacesCDC サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon Keyspaces サービスにリンクされたロールのサポートされているリージョン
Amazon Keyspaces は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。