Amazon Lightsail のサービスにリンクされたロールの使用
Amazon Lightsail では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、Amazon Lightsail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Amazon Lightsail による事前定義済みのロールであり、ユーザーに代わって Lightsail から AWS の他のサービスを呼び出すために必要なすべてのアクセス権限を備えています。
サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Amazon Lightsail の設定が簡単になります。Amazon Lightsail は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Amazon Lightsail のみがそのロールを引き受けることができます。定義されたアクセス許可には、他の IAM エンティティにアタッチできない信頼ポリシーとアクセス許可ポリシーが含まれます。
サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる権限の削除が防止され、Amazon Lightsail リソースは保護されます。
サービスリンクロールをサポートする他のサービスについては、「IAM と連携する AWS サービス」で「サービスリンクロール」列が「はい」になっているサービスを探してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「はい」のリンクをクリックします。
Amazon Lightsail のサービスにリンクされたロールのアクセス許可
Amazon Lightsail は、[AWSServiceRoleForLightsail] という名前のサービスにリンクされたロールを使用して、Amazon Elastic Compute Cloud (Amazon EC2)に Lightsail インスタンスとブロックストレージのディスクのスナップショットをエクスポートしたり、Amazon Simple Storage Service (Amazon S3) から現在のアカウントレベルのブロックパブリックアクセス設定を取得したりします。
Lightsail サービスにリンクされたロール AWSServiceRoleForECS は、次のサービスを信頼してロールを引き受けます。
-
lightsail.amazonaws.com
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon Lightsail に許可します。
-
アクション: すべての AWS リソースに対する
ec2:CopySnapshot
。 -
アクション: すべての AWS リソースに対する
ec2:DescribeSnapshots
。 -
アクション: すべての AWS リソースに対する
ec2:CopyImage
。 -
アクション: すべての AWS リソースに対する
ec2:DescribeImages
。 -
アクション: すべての AWS AWS CloudFormation スタック上の
cloudformation:DescribeStacks
。 -
アクション: すべての AWS リソースに対する
s3:GetAccountPublicAccessBlock
。
サービスリンクロールのアクセス許可
IAM; エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールの説明を作成または編集できるようにするには、アクセス許可を設定する必要があります。
特定のサービスにリンクされたロールの作成を IAM エンティティに許可するには
サービスにリンクされたロールを作成する必要のある IAM エンティティに、次のポリシーを追加します。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*", "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" } ] }
IAM エンティティがサービスにリンクされた任意のロールを作成することを許可するには
サービスにリンクされたロール、または必要なポリシーを含む任意のサービスロールを作成する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
IAM エンティティが任意のサービスロールの説明を編集することを許可するには
サービスにリンクされたロール、または任意のサービスロールの説明を編集する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
IAM エンティティがサービスにリンクされた特定のロールを削除することを許可するには
サービスにリンクされたロールを削除する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" }
IAM エンティティがサービスロールを削除することを許可するには
サービスにリンクされたロール、または任意のサービスロールを削除する必要のある IAM; エンティティのアクセス許可ポリシーに、次のステートメントを追加します。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
または、AWS 管理ポリシーを使用して、サービスへのフルアクセスを付与することもできます。
Amazon Lightsail のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。Lightsail インスタンスまたはブロックストレージのディスクスナップショットを Amazon EC2 にエクスポートするか、AWS AWS Management Console、AWS CLI または AWS API で Lightsail バケットを作成または更新すると、Amazon Lightsail には、サービスにリンクされたロールが作成されます。
このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。Lightsail インスタンスまたはブロックストレージのディスクスナップショットを Amazon EC2 にエクスポートしたり、Lightsail バケットを作成または更新したりすると、Amazon Lightsail には、サービスにリンクされたロールが作成されます。
重要
サービスにリンクされたロールの作成を Amazon Lightsail に許可するように IAM アクセス許可を設定する必要があります。これを行うには、次の「サービスにリンクされたロールのアクセス許可」セクションのステップを実行します。
Amazon Lightsail のサービスにリンクされたロールの編集
Amazon Lightsail では、AWSServiceRoleForFIS Lightsail のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。
Amazon Lightsail のサービスにリンクされたロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、AWSServiceRoleFor Lightsail サービスにリンクされたロールを削除する前に、コピーが保留中の状態になっている Amazon Lightsail のインスタンスまたはディスクスナップショットがないことを確認する必要があります。詳細については、「スナップショットを Amazon EC2 にエクスポートする」を参照してください。
サービスにリンクされたロールを IAM で手動削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、Lightsail サービスにリンクされたロールである AWSServiceRoleForECS を削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
Amazon Lightsail のサービスにリンクされたロールをサポートするリージョン
Amazon Lightsail は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。Lightsail が使用できるリージョンの詳細については、「Amazon Lightsail リージョン」 を参照してください。