翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie のサービスにリンクされたロールの使用

Amazon Macie は を使用します AWS Identity and Access Management （IAM) という名前のサービスにリンクされたロールAWSServiceRoleForAmazonMacie。このサービスにリンクされたロールは、Macie に直接リンクされた IAMロールです。Macie によって事前定義されており、Macie が他の を呼び出すために必要なすべてのアクセス許可が含まれています。 AWS のサービス と のモニタリング AWS ユーザーに代わって リソース。Macie は、すべての でこのサービスにリンクされたロールを使用します。 AWS リージョン Macie が利用可能な 。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Macie の設定が簡単になります。Macie は、このサービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Macie のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「」を参照してください。 AWS のサービス は と連携してIAM、サービスにリンクされたロール列に「はい」があるサービスを探します。 サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Macie のサービスにリンクされたロールのアクセス許可

Amazon Macie では、AWSServiceRoleForAmazonMacie という名称のサービスリンクロールを使用します。このサービスリンクロールは、ロールを引き受ける上で macie.amazonaws.com サービスを信頼します。

AmazonMacieServiceRolePolicy と呼ばれるロールのアクセス許可ポリシーにより、Macie は次のようなタスクを、指定されたリソースで実行することが許可されます:

このロールは、次のアクセス許可ポリシーを使用して設定されます。

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "iam:ListAccountAliases",
        "organizations:DescribeAccount",
        "organizations:ListAccounts",
        "s3:GetAccountPublicAccessBlock",
        "s3:ListAllMyBuckets",
        "s3:GetBucketAcl",
        "s3:GetBucketLocation",
        "s3:GetBucketLogging",
        "s3:GetBucketPolicy",
        "s3:GetBucketPolicyStatus",
        "s3:GetBucketPublicAccessBlock",
        "s3:GetBucketTagging",
        "s3:GetBucketVersioning",
        "s3:GetBucketWebsite",
        "s3:GetEncryptionConfiguration",
        "s3:GetLifecycleConfiguration",
        "s3:GetReplicationConfiguration",
        "s3:ListBucket",
        "s3:GetObject",
        "s3:GetObjectAcl",
        "s3:GetObjectTagging"
      ],
      "Resource": "*"
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogGroup"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*"
      ]
    },
    {
      "Effect": "Allow",
      "Action": [
        "logs:CreateLogStream",
        "logs:PutLogEvents",
        "logs:DescribeLogStreams"
      ],
      "Resource": [
        "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*"
      ]
    }
  ]
}

AmazonMacieServiceRolePolicy ポリシーへの更新詳細については、Macie による AWS マネージドポリシーの更新 を参照してください。このポリシーの変更に関する自動アラートについては、Macie ドキュメント履歴ページのRSSフィードにサブスクライブしてください。

IAM エンティティ (ユーザーやロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。

Macie のサービスにリンクされたロールの作成

Amazon Macie 向けに AWSServiceRoleForAmazonMacie サービスリンクロールを手動で作成する必要はありません。で Macie を有効にする場合 AWS アカウント、Macie は自動的にサービスにリンクされたロールを作成します。

この Macie サービスリンクロールを削除した後、また作成が必要になった場合は、同じプロセスでユーザーのアカウントにそのロールを再作成することができます。Macie を再び有効にすると、Macie はユーザー用にサービスリンクロールを再度作成します。

Macie のサービスにリンクされたロールの編集

Amazon Macie では、AWSServiceRoleForAmazonMacie のサービスリンクロールを編集することはできません。サービスリンクロールが作成されると、多くのエンティティによってそのロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの更新」を参照してください。

Macie のサービスにリンクされたロールの削除

サービスリンクロールを削除するには、その関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、 リソースが保護されます。

Amazon Macie が不要になった場合は、AWSServiceRoleForAmazonMacie のサービスリンクロールを手動で削除することをお勧めします。Macie を無効化しても、Macie はそのロールを削除しません。

ロールを削除する前に、各 で Macie を無効にする必要があります。 AWS リージョン を有効にした場所。また、ロールのリソースは手動でクリーンアップする必要があります。ロールを削除するには、IAMコンソール、 AWS CLI、または AWS API。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。

AWSServiceRoleForAmazonMacie サービスリンクロールを削除した後、また作成が必要になった場合は、ユーザーのアカウント用の Macie を有効化することで再作成することができます。Macie を再び有効にすると、Macie はユーザー用にサービスリンクロールを再度作成します。

サポート AWS リージョン Macie サービスにリンクされたロールの

Amazon Macie は、すべての でAWSServiceRoleForAmazonMacieサービスにリンクされたロールの使用をサポートしています。 AWS リージョン Macie が利用可能な 。Macie が現在利用可能なリージョンのリストについては、「」のAmazon Macie エンドポイントとクォータ」を参照してください。 AWS 全般のリファレンス.