Amazon Neptune のサービスにリンクされたロールの使用 - Amazon Neptune
ロールのアクセス許可サービスにリンクされたロールを作成するサービスにリンクされたロールの編集サービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Neptune のサービスにリンクされたロールの使用

Amazon Neptune は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Neptune に直接リンクされる一意のタイプのIAMロールです。サービスにリンクされたロールは Neptune によって事前定義されており、ユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

重要

特定の管理機能では、Amazon Neptune は Amazon と共有されている運用テクノロジーを使用しますRDS。これには、サービスにリンクされたロールと管理APIアクセス許可が含まれます。

サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Neptune の使用が簡単になります。Neptune は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Neptune のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

ロールを削除するには、まず関連リソースを削除します。これにより、リソースへの意図しないアクセスによるアクセス許可の削除が防止され、Neptune リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、「 AWS と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Neptune のサービスにリンクされたロールにおけるアクセス許可

Neptune は、AWSServiceRoleForRDSサービスにリンクされたロールを使用して、Neptune と Amazon RDS がデータベースインスタンスに代わって AWS サービスを呼び出すことを許可します。AWSServiceRoleForRDS サービスにリンクされたロールは、ロールを継承するために rds.amazonaws.com のサービスを信頼します。

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Neptune に許可します。

  • ec2 でのアクション:

    • AssignPrivateIpAddresses

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeInternetGateways

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcAttribute

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

    • UnassignPrivateIpAddresses

  • sns でのアクション:

    • ListTopic

    • Publish

  • cloudwatch でのアクション:

    • PutMetricData

    • GetMetricData

    • CreateLogStream

    • PullLogEvents

    • DescribeLogStreams

    • CreateLogGroup

注記

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするアクセス許可を設定する必要があります。次のエラーメッセージが返される場合があります。

リソースを作成できません。サービスにリンクされたロールを作成するために必要なアクセス許可があることを確認します。それ以外の場合は、時間をおいてからもう一度お試しください。

このメッセージが表示された場合は、次のアクセス許可が有効であることを確認します。

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Neptune 用に作成されたサービスリンクロール

サービスリンクロールを手動で作成する必要はありません。インスタンスまたはクラスターを作成すると、サービスにリンクされたロールが再度 Neptune で自動的に作成されます。

重要

詳細については、IAM「 ユーザーガイド」の「マイIAMアカウントに表示される新しいロール」を参照してください。

サービスにリンクされたこのロールを削除したが、再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。インスタンスまたはクラスターを作成すると、サービスにリンクされたロールが再度 Neptune で自動的に作成されます。

Neptune のサービスにリンクされたロールの編集

Neptune では、AWSServiceRoleForRDS のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集できますIAM。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Neptune でのサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、関連付けられているサービスにリンクされたロールを削除する前に、すべてのインスタンスとクラスターを削除する必要があります。

サービスにリンクされたロールを削除する前にクリーンアップする

IAM を使用してサービスにリンクされたロールを削除する前に、まずそのロールにアクティブなセッションがないことを確認し、そのロールが使用するリソースを削除する必要があります。

サービスにリンクされたロールにIAMコンソールでアクティブなセッションがあるかどうかを確認するには

  1. にサインイン AWS Management Console し、 でIAMコンソールを開きますhttps://console.aws.amazon.com/iam/

  2. IAM コンソールのナビゲーションペインで、ロール を選択します。次に、AWSServiceRoleForRDS ロールの名前 (チェックボックスではありません) を選択します。

  3. 選択したロールの [概要] ページで、[アクセスアドバイザー] タブを選択します。

  4. アクセスアドバイザー タブで、サービスにリンクされたロールの最新のアクティビティを確認します。

    注記

    Neptune で AWSServiceRoleForRDS ロールが使用されているかどうかが不明な場合は、このロールの削除を試みることができます。サービスでロールが使用されている場合、削除は失敗し、ロールが使用されている リージョンが表示されます。ロールが使用されている場合は、ロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。

AWSServiceRoleForRDS ロールを削除する場合、最初にすべてのインスタンスとクラスターを削除する必要があります。

すべてのインスタンスの削除

以下のいずれかの手順を使用して、インスタンスをそれぞれ削除します。

インスタンスを削除するには (コンソール)

  1. で Amazon RDSコンソールを開きますhttps://console.aws.amazon.com/rds/

  2. ナビゲーションペインで、[インスタンス] を選択します。

  3. [Instances] リストで、削除するインスタンスを選択します。

  4. [Instance actions] を選択し、[Delete] を選択します。

  5. [最終スナップショットを作成しますか?] で、[はい] または [いいえ] を選択します。

  6. 前のステップで [はい] を選択した場合は、[最終スナップショット名] に最終スナップショットの名前を入力します。

  7. [削除] を選択します。

インスタンスを削除するには (AWS CLI)

AWS CLI コマンドリファレンス の「delete-db-instance」を参照してください。

インスタンスを削除するには (API)

DeleteDBInstance」を参照してください。

すべての クラスターの削除

次のいずれかの手順を使用して単一のクラスターを削除してから、各クラスターに対してこの手順を繰り返します。

クラスターを削除するには (コンソール)

  1. AWS マネジメントコンソールにサインインし、Amazon Neptune コンソールをhttps://console.aws.amazon.com/neptune/ホーム で開きます。

  2. [Clusters] リストで、削除するクラスターを選択します。

  3. [Cluster Actions] を選択してから、[Delete] を選択します。

  4. [削除] を選択します。

クラスターを削除するには (CLI)

AWS CLI コマンドリファレンス の「delete-db-cluster」を参照してください。

クラスターを削除するには (API)

DeleteDBCluster」を参照してください。

IAM コンソール、CLI、または IAM を使用してIAMAPI、AWSServiceRoleForRDSサービスにリンクされたロールを削除できます。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。