Resource Explorer でのサービスリンクロールの使用 - AWS Resource Explorer
Resource Explorer のサービスリンクロールにおけるアクセス許可Resource Explorer のサービスリンクロールの作成Resource Explorer のサービスリンクロールの編集Resource Explorer のサービスリンクロールの削除Resource Explorer サービスリンクロールでサポートされるリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Resource Explorer でのサービスリンクロールの使用

AWS Resource Explorer は AWS Identity and Access Management 、 (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、Resource Explorer に直接リンクされた一意のタイプのIAMロールです。サービスにリンクされたロールは、Resource Explorer によって事前定義されており、 AWS サービス ユーザーに代わってサービスが他の を呼び出すために必要なすべてのアクセス許可が含まれています。

サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Resource Explorer の設定が簡単になります。サービスリンクロールの権限は Resource Explorer により定義されており、別段定義されない限り、Resource Explorer のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーの両方が含まれており、そのアクセス許可ポリシーを他のIAMエンティティに割り当てることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、 ユーザーガイドのAWS 「 と連携する のサービスIAMIAM」を参照してください。[サービスリンクロール] 列が はい になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Resource Explorer のサービスリンクロールにおけるアクセス許可

Resource Explorer は、AWSServiceRoleForResourceExplorer という名前のサービスリンクロールを使用します。このロールは、Resource Explorer サービスに、 AWS アカウント ユーザーに代わって のリソースと AWS CloudTrail イベントを表示し、検索をサポートするようにそれらのリソースのインデックスを作成するアクセス許可を付与します。

AWSServiceRoleForResourceExplorer サービスリンクロールは、次のサービスプリンシパルがロールを引き受けるサービスのみを信頼します。

  • resource-explorer-2.amazonaws.com

という名前のロール許可ポリシーAWSResourceExplorerServiceRolePolicyは、サポートされているリソースのリソース名とプロパティを取得するための読み取り専用アクセスを Resource Explorer に許可します AWS 。Resource Explorer がサポートするサービスとリソースを確認するには、「Resource Explorer で検索可能なリソースタイプ」を参照してください。このロールが実行できるすべてのアクションの完全なリストについては、 IAMコンソールでAWSResourceExplorerServiceRolePolicyポリシーを表示できます。

プリンシパルは、ユーザー、グループ、ロールなどのIAMエンティティです。アカウントの最初のリージョンでインデックスを作成するときに Resource Explorer 側でサービスリンクロールを自動作成させる場合、タスクを実行するプリンシパルが必要とするのは Resource Explorer インデックスの作成に必要な権限のみです。を使用してサービスにリンクされたロールを手動で作成するにはIAM、タスクを実行するプリンシパルに、サービスにリンクされたロールを作成するアクセス許可が必要です。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可IAM」を参照してください。

Resource Explorer のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。で Resource Explorer を有効にするか AWS Management Console、 AWS CLI または を使用してアカウント AWS リージョン の最初の CreateIndexで を実行すると AWS API、Resource Explorer によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後に再作成する必要がある場合は、同じプロセスで、アカウントにロールを再作成することができます。アカウントの最初のリージョンRegisterResourceExplorerにいる場合、Resource Explorer によってサービスにリンクされたロールが再度作成されます。

Resource Explorer のサービスリンクロールの編集

Resource Explorer では、AWSServiceRoleForResourceExplorer サービスリンクロールの編集を許可していません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集することはできますIAM。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Resource Explorer のサービスリンクロールの削除

IAM コンソール、、または AWS API を使用して AWS CLI、サービスにリンクされたロールを手動で削除できます。これを行うには、まず AWS リージョン アカウントのすべての から Resource Explorer インデックスを削除してから、サービスにリンクされたロールを手動で削除する必要があります。

注記

リソース削除時に Resource Explorer サービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、すべてのリージョンのすべてのインデックスが削除されていることを確認し、数分待ってからもう一度オペレーションを実行してみてください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、、または AWS API を使用して AWS CLI、AWSServiceRoleForResourceExplorerサービスにリンクされたロールを削除します。詳細については、「 ユーザーガイド」の「サービスにリンクされたロールの削除IAM」を参照してください。

Resource Explorer サービスリンクロールでサポートされるリージョン

Resource Explorer は、サービスが利用可能なすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、「Amazon Web Services 全般のリファレンス」の「AWS サービス エンドポイント」を参照してください。