ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集 - AWS Systems Manager
Systems Manager アカウント検出のためのサービスにリンクされたロールの許可Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの作成Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの編集Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールの削除Systems ManagerAWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールをサポートするリージョンAWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールへの更新

ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集

Systems Manager は、AWSServiceRoleForAmazonSSM_AccountDiscovery と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、この IAM サービスロールを使用して、AWS アカウント 情報を検出するために他の AWS のサービスを呼び出します。

Systems Manager アカウント検出のためのサービスにリンクされたロールの許可

AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • accountdiscovery.ssm.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。

  • organizations:DescribeAccount

  • organizations:DescribeOrganizationalUnit

  • organizations:DescribeOrganization

  • organizations:ListAccounts

  • organizations:ListAWSServiceAccessForOrganization

  • organizations:ListChildren

  • organizations:ListParents

  • organizations:ListDelegatedServicesForAccount

  • organizations:ListDelegatedAdministrators

  • organizations:ListRoots

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの作成

Systems Manager の機能である Explorer および OpsCenter を複数の AWS アカウントで使用する場合は、サービスにリンクされたロールを作成する必要があります。OpsCenter では、サービスにリンクされたロールを手作業で作成する必要があります。詳細については、「(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する」を参照してください。

Explorer では、AWS Management Console で Systems Manager を使用してリソースデータ同期を作成する場合、[Create role] (ロールの作成) ボタンを選択して、サービスにリンクされたロールを作成できます。リソースデータの同期をプログラムで作成する場合は、リソースデータの同期を作成する前に、ロールを作成する必要があります。CreateServiceLinkedRole API オペレーションを使用してロールを作成できます。

Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの編集

Systems Manager では、AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Systems Manager の AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。

AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールのクリーンアップ

IAM を使用して AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールを削除するには、最初に、Explorer リソースデータ同期をすべて削除する必要があります。

注記

リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールを手動で削除する

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

Systems ManagerAWSServiceRoleForAmazonSSM_AccountDiscovery サービスにリンクされたロールをサポートするリージョン

Systems Manager は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「AWS Systems Manager エンドポイントとクォータ」を参照してください。

AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールへの更新

このサービスがこれらの変更の追跡を開始して以降行われた、AWSServiceRoleForAmazonSSM_AccountDiscovery のサービスにリンクされたロールの更新に関する詳細を表示します。このページの変更に関する自動通知については、[Systems Manager ドキュメント履歴] ページの RSS フィードを購読してください。

変更 説明 日付

新しいアクセス許可の追加

このサービスにリンクされたロールに、organizations:DescribeOrganizationalUnit および organizations:ListRoots のアクセス許可が含まれるようになりました。これらのアクセス許可により、AWS Organizations の管理アカウントまたは Systems Manager の委任された管理者アカウントが複数のアカウントで OpsItems を使用できるようになります。詳細については、「(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する」を参照してください。

 2022 年 10 月 17 日