Systems Manager のサービスにリンクされたロールの使用
AWS Systems Manager では AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、Systems Manager に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Systems Manager によって事前定義されており、サービスがユーザーに代わって他の AWS のサービス を呼び出すために必要なすべてのアクセス許可が含まれています。
注記
「サービスロール」のロールはサービスにリンクされたロールとは異なります。サービスロールは、サービスが AWS のリソースにアクセスできるように、AWS のサービス にアクセス許可を付与する AWS Identity and Access Management (IAM) ロールのタイプです。サービスロールを必要とする Systems Manager のシナリオはごくわずかです。Systems Manager のサービスロールを作成する場合は、他の AWS リソースにアクセスまたは通信するために付与するアクセス許可を選択します。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Systems Manager の設定が簡単になります。このサービスリンクロールのアクセス許可は Systems Manager で定義します。特に定義されている場合を除き、Systems Manager のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる権限の削除が防止され、Systems Manager リソースは保護されます。
注記
ハイブリッドおよびマルチクラウド環境内の非 EC2 ノードの場合、それらのマシンが Systems Manager サービスと通信できるようにする追加の IAM ロールが必要です。これは、Systems Manager の IAM サービスロールです。このロールは、Systems Manager サービスに対して AWS Security Token Service (AWS STS) AssumeRole 信頼を付与します。AssumeRole アクションは、一時的なセキュリティ認証情報 (アクセスキー ID、シークレットアクセスキー、セキュリティトークンで構成) を返します。これらの一時的な認証情報を使用して、通常はアクセスできない AWS リソースにアクセスします。詳細については、「ハイブリッドおよびマルチクラウド環境で Systems Manager に必要な IAM サービスロールを作成する」および「AWS Security Token Service API リファレンス」の「AssumeRole」を参照してください。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照し、「サービスにリンクされたロール」の列内で「はい」と表記されたサービスを確認してください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。
トピック
