ロールを使用して、Explorer の OpsData および OpsItems を作成 - AWS Systems Manager
Systems Manager OpsData 同期ためのサービスにリンクされたロールの許可Systems Manager の AWSServiceRoleForSystemsManagerOpsDataSync のサービスにリンクされたロールの作成Systems Manager の AWSServiceRoleForSystemsManagerOpsDataSync のサービスにリンクされたロールの編集Systems Manager の AWSServiceRoleForSystemsManagerOpsDataSync サービスにリンクされたロールの削除Systems ManagerAWSServiceRoleForSystemsManagerOpsDataSync サービスにリンクされたロールをサポートするリージョン

ロールを使用して、Explorer の OpsData および OpsItems を作成

Systems Manager は、AWSServiceRoleForSystemsManagerOpsDataSync と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、この Explorer の IAM サービスロールを使用して OpsData と OpsItems を作成します。

Systems Manager OpsData 同期ためのサービスにリンクされたロールの許可

AWSServiceRoleForSystemsManagerOpsDataSync サービスにリンクされたロールは、ロールの引き受けについて以下のサービスを信頼します。

  • opsdatasync.ssm.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。

  • Systems Manager Explorer には、OpsItem が更新された際のセキュリティに関する検出結果の更新、OpsItem の作成および更新、SSM マネージドルールが削除された場合の Security Hub データソースの無効化のための許可が、サービスにリンクされたロールから付与される必要があります。

AWSServiceRoleForSystemsManagerOpsDataSync ロールのアクセス許可を提供するために使用される管理ポリシーは、AWSSystemsManagerOpsDataSyncServiceRolePolicy です。付与されるアクセス許可の詳細については、「AWS マネージドポリシー: AWSSystemsManagerOpsDataSyncServiceRolePolicy」を参照してください。

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM User Guide」(IAM ユーザーガイド) の「Service-linked role permissions」(サービスにリンクされたロールのアクセス権限) を参照してください。

Systems Manager の AWSServiceRoleForSystemsManagerOpsDataSync のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。AWS Management Console で Explorer を有効にすると、Systems Manager によって、サービスにリンクされたロールが作成されます。

重要

このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。また、サービスにリンクされたロールのサポートが開始された 2017 年 1 月 1 日よりも前に Systems Manager サービスを使用していた場合は、Systems Manager によって AWSServiceRoleForSystemsManagerOpsDataSync ロールがアカウントに作成されています。詳細については、「IAM アカウントに新しいロールが表示される」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AWS Management Console で Explorer を有効にすると、Systems Manager によって、サービスにリンクされたロールが再度作成されます。

AWS のサービスロール (Explorer による OpsData とOpsItems ユースケースの作成を許可) を指定してサービスにリンクされたロールを作成する場合にも、IAM コンソールを使用できます。AWS CLI または AWS API では、opsdatasync.ssm.amazonaws.com サービス名を使用してサービスにリンクされたロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

Systems Manager の AWSServiceRoleForSystemsManagerOpsDataSync のサービスにリンクされたロールの編集

Systems Manager では、AWSServiceRoleForSystemsManagerOpsDataSync のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。

Systems Manager の AWSServiceRoleForSystemsManagerOpsDataSync サービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForSystemsManagerOpsDataSync ロールによる Systems Manager のリソースを削除する手順は、Security Hub と統合できるように Explorer または OpsCenter を構成しているかどうかによって異なります。

AWSServiceRoleForSystemsManagerOpsDataSync ロールで使用されている Systems Manager リソースを削除するには

  • Explorer がSecurity Hub 結果に対して新しい OpsItems を作成しないようにするには、「検出結果の受け取りを停止する方法」を参照してください。

  • OpsCenter が Security Hub 結果に対して新しい OpsItems を作成しないようにするには、以下を参照してください。

IAM を使用して AWSServiceRoleForSystemsManagerOpsDataSync サービスリンクロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForSystemsManagerOpsDataSync サービスリンクロールを削除します。詳細については、 IAM ユーザーガイド の「サービスにリンクされたロールの削除」を参照してください。

Systems ManagerAWSServiceRoleForSystemsManagerOpsDataSync サービスにリンクされたロールをサポートするリージョン

Systems Manager では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「AWS Systems Manager エンドポイントとクォータ」を参照してください。

Systems Manager は、このサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートしているわけではありません。以下のリージョンでは、AWSServiceRoleForSystemsManagerOpsDataSync ロールを使用できます。

AWS リージョン 名 リージョン識別子 Systems Manager でのサポート
米国東部 (バージニア北部) us-east-1 はい
米国東部 (オハイオ) us-east-2 はい
米国西部 (北カリフォルニア) us-west-1 はい
米国西部 (オレゴン) us-west-2 はい
アジアパシフィック (ムンバイ) ap-south-1 はい
アジアパシフィック (大阪) ap-northeast-3 はい
アジアパシフィック (ソウル) ap-northeast-2 はい
アジアパシフィック (シンガポール) ap-southeast-1 はい
アジアパシフィック (シドニー) ap-southeast-2 はい
アジアパシフィック (東京) ap-northeast-1 はい
カナダ (中部) ca-central-1 はい
欧州 (フランクフルト) eu-central-1 はい
欧州 (アイルランド) eu-west-1 はい
欧州 (ロンドン) eu-west-2 はい
欧州 (パリ) eu-west-3 はい
欧州 (ストックホルム) eu-north-1 はい
南米 (サンパウロ) sa-east-1 はい
AWS GovCloud (US) us-gov-west-1 いいえ