翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
Macie のサービスにリンクされたロールの使用
Amazon Macie は を使用します AWS Identity and Access Management (IAM) という名前のサービスにリンクされたロールAWSServiceRoleForAmazonMacie
。このサービスにリンクされたロールは、Macie に直接リンクされた IAMロールです。Macie によって事前定義されており、Macie が他の を呼び出すために必要なすべてのアクセス許可が含まれています。 AWS のサービス と のモニタリング AWS ユーザーに代わって リソース。Macie は、すべての でこのサービスにリンクされたロールを使用します。 AWS リージョン Macie が利用可能な 。
サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Macie の設定が簡単になります。Macie は、このサービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Macie のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。
サービスにリンクされたロールをサポートする他のサービスについては、「」を参照してください。 AWS のサービス は と連携してIAM、サービスにリンクされたロール列に「はい」があるサービスを探します。 サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
トピック
Macie のサービスにリンクされたロールのアクセス許可
Amazon Macie では、AWSServiceRoleForAmazonMacie
という名称のサービスリンクロールを使用します。このサービスリンクロールは、ロールを引き受ける上で macie.amazonaws.com
サービスを信頼します。
AmazonMacieServiceRolePolicy
と呼ばれるロールのアクセス許可ポリシーにより、Macie は次のようなタスクを、指定されたリソースで実行することが許可されます:
-
Amazon S3 アクションを使用して、S3 バケットとオブジェクトに関する情報を取得します。
-
Amazon S3 アクションを使用して、S3 オブジェクトを取得します。
-
使用アイテム AWS Organizations 関連付けられたアカウントに関する情報を取得する アクション。
-
Amazon CloudWatch Logs アクションを使用して、機密データ検出ジョブのイベントをログに記録します。
このロールは、次のアクセス許可ポリシーを使用して設定されます。
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "iam:ListAccountAliases", "organizations:DescribeAccount", "organizations:ListAccounts", "s3:GetAccountPublicAccessBlock", "s3:ListAllMyBuckets", "s3:GetBucketAcl", "s3:GetBucketLocation", "s3:GetBucketLogging", "s3:GetBucketPolicy", "s3:GetBucketPolicyStatus", "s3:GetBucketPublicAccessBlock", "s3:GetBucketTagging", "s3:GetBucketVersioning", "s3:GetBucketWebsite", "s3:GetEncryptionConfiguration", "s3:GetLifecycleConfiguration", "s3:GetReplicationConfiguration", "s3:ListBucket", "s3:GetObject", "s3:GetObjectAcl", "s3:GetObjectTagging" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/macie/*" ] }, { "Effect": "Allow", "Action": [ "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/macie/*:log-stream:*" ] } ] }
AmazonMacieServiceRolePolicy
ポリシーへの更新詳細については、Macie による AWS マネージドポリシーの更新 を参照してください。このポリシーの変更に関する自動アラートについては、Macie ドキュメント履歴ページのRSSフィードにサブスクライブしてください。
IAM エンティティ (ユーザーやロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするには、アクセス許可を設定する必要があります。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。
Macie のサービスにリンクされたロールの作成
Amazon Macie 向けに AWSServiceRoleForAmazonMacie
サービスリンクロールを手動で作成する必要はありません。で Macie を有効にする場合 AWS アカウント、Macie は自動的にサービスにリンクされたロールを作成します。
この Macie サービスリンクロールを削除した後、また作成が必要になった場合は、同じプロセスでユーザーのアカウントにそのロールを再作成することができます。Macie を再び有効にすると、Macie はユーザー用にサービスリンクロールを再度作成します。
Macie のサービスにリンクされたロールの編集
Amazon Macie では、AWSServiceRoleForAmazonMacie
のサービスリンクロールを編集することはできません。サービスリンクロールが作成されると、多くのエンティティによってそのロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの更新」を参照してください。
Macie のサービスにリンクされたロールの削除
サービスリンクロールを削除するには、その関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、 リソースが保護されます。
Amazon Macie が不要になった場合は、AWSServiceRoleForAmazonMacie
のサービスリンクロールを手動で削除することをお勧めします。Macie を無効化しても、Macie はそのロールを削除しません。
ロールを削除する前に、各 で Macie を無効にする必要があります。 AWS リージョン を有効にした場所。また、ロールのリソースは手動でクリーンアップする必要があります。ロールを削除するには、IAMコンソール、 AWS CLI、または AWS API。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。
注記
リソースを削除する際に、AWSServiceRoleForAmazonMacie
のロールが使用されている場合、削除が失敗することがあります。その場合は、数分待ってから操作を再試行してください。
AWSServiceRoleForAmazonMacie
サービスリンクロールを削除した後、また作成が必要になった場合は、ユーザーのアカウント用の Macie を有効化することで再作成することができます。Macie を再び有効にすると、Macie はユーザー用にサービスリンクロールを再度作成します。
サポート AWS リージョン Macie サービスにリンクされたロールの
Amazon Macie は、すべての でAWSServiceRoleForAmazonMacie
サービスにリンクされたロールの使用をサポートしています。 AWS リージョン Macie が利用可能な 。Macie が現在利用可能なリージョンのリストについては、「」のAmazon Macie エンドポイントとクォータ」を参照してください。 AWS 全般のリファレンス.