Amazon Timestream for InfluxDB のサービスにリンクされたロールの使用 - Amazon Timestream
サービスリンクロールのアクセス許可サービスにリンクされたロール (IAM) の作成サービスにリンクされたロールの説明の編集Amazon Timestream for InfluxDB のサービスにリンクされたロールの削除InfluxDB サービスにリンクされたロールの Amazon Timestream でサポートされているリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon Timestream for InfluxDB のサービスにリンクされたロールの使用

Amazon Timestream for InfluxDB は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon Timestream for InfluxDB などの AWS サービスに直接リンクされた一意のタイプの IAM ロールです。 InfluxDB Amazon Timestream for InfluxDB のサービスにリンクされたロールは、Amazon Timestream for InfluxDB によって事前定義されています。これには、サービスが dbinstances に代わって AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれます。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、InfluxDB 用の Amazon Timestream の設定が簡単になります。ロールは AWS アカウント内に既に存在しますが、Amazon Timestream for InfluxDB のユースケースにリンクされており、事前定義されたアクセス許可があります。これらのロールを引き受けることができるのは InfluxDB 用 Amazon Timestream のみです。また、これらのロールのみが事前定義されたアクセス許可ポリシーを使用できます。ロールを削除するには、まず関連リソースを削除します。これにより、Amazon Timestream for InfluxDB リソースへのアクセスに必要なアクセス許可を誤って削除することが防止されます。

サービスにリンクされたロールをサポートするその他のサービスの詳細については、AWS IAM と連携するサービス」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Amazon Timestream for InfluxDB のサービスにリンクされたロールのアクセス許可

Amazon Timestream for InfluxDB は、DBServiceRolePolicyAmazonTimestreamInflux という名前のサービスにリンクされたロールを使用します。このポリシーにより、Timestream for InfluxDB がクラスターの管理に必要な AWS リソースを管理できるようになります。

DBServiceRolePolicy AmazonTimestreamInflux サービスにリンクされたロールのアクセス許可ポリシーにより、Amazon Timestream for InfluxDB は、指定されたリソースに対して以下のアクションを実行できます。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DescribeNetworkStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfaces"
			],
			"Resource": "*"
		},
		{
			"Sid": "CreateEniInSubnetStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Sid": "CreateEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "CreateTagWithEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				},
				"StringEquals": {
					"ec2:CreateAction": [
						"CreateNetworkInterface"
					]
				}
			}
		},
		{
			"Sid": "ManageEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "PutCloudWatchMetricsStatement",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": [
						"AWS/Timestream/InfluxDB",
						"AWS/Usage"
					]
				}
			},
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ManageSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret",
				"secretsmanager:DeleteSecret"
			],
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:READONLY-InfluxDB-auth-parameters-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

IAM エンティティが AmazonTimestreamInflux DBServiceRolePolicyサービスにリンクされたロールを作成できるようにするには

その IAM エンティティのアクセス許可に次のポリシーステートメントを追加します。

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

IAM エンティティが AmazonTimestreamInflux DBServiceRolePolicyサービスにリンクされたロールを削除できるようにするには

その IAM エンティティのアクセス許可に次のポリシーステートメントを追加します。

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

または、 AWS 管理ポリシーを使用して、Amazon Timestream for InfluxDB へのフルアクセスを提供することもできます。

サービスにリンクされたロール (IAM) の作成

サービスにリンクされたロールを手動で作成する必要はありません。DB インスタンスを作成すると、Amazon Timestream for InfluxDB によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。DB インスタンスを作成すると、Amazon Timestream for InfluxDB によってサービスにリンクされたロールが再度作成されます。

Amazon Timestream for InfluxDB のサービスにリンクされたロールの説明の編集

Amazon Timestream for InfluxDB では、DBServiceRolePolicy AmazonTimestreamInflux サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。

サービスにリンクされたロールの説明の編集 (IAM コンソール)

IAM コンソールを使用して、サービスにリンクされたロールの説明を編集できます。

サービスにリンクされたロールの説明を編集するには (コンソール)

  1. IAM コンソールの左側のナビゲーションペインで、ロールを選択します。

  2. 変更するロールの名前を選択します。

  3. ロールの説明の右端にある編集を選択します。

  4. ボックスに新しい説明を入力し、保存を選択します。

サービスにリンクされたロールの説明の編集 (IAMCLI)

から IAM オペレーションを使用して AWS Command Line Interface 、サービスにリンクされたロールの説明を編集できます。

サービスにリンクされたロールの説明を変更するには (CLI)

  1. (オプション) ロールの現在の説明を表示するには、 for AWS CLI IAM オペレーション を使用しますget-role

    $ aws iam get-role --role-name AmazonTimestreamInfluxDBServiceRolePolicy

    ARN オペレーションでロールを参照するには、CLI ではなくロール名を使用します。例えば、ロールに というARNがある場合arn:aws:iam::123456789012:role/myrole、ロールを と呼びますmyrole

  2. サービスにリンクされたロールの説明を更新するには、 AWS CLI for IAM オペレーション を使用しますupdate-role-description

    Linux と MacOS

    $ aws iam update-role-description \
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy \
    --description "new description"

    Windows

    $ aws iam update-role-description ^
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy ^
    --description "new description"

サービスにリンクされたロールの説明の編集 (IAMAPI)

IAM API を使用して、サービスにリンクされたロールの説明を編集できます。

サービスにリンクされたロールの説明を変更するには (API)

  1. (オプション) ロールの現在の説明を表示するには、IAM API オペレーションを使用します。GetRole.

    https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &AUTHPARAMS

  2. ロールの説明を更新するには、IAM API オペレーションを使用します。UpdateRoleDescription.

    https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &Description="New description"

Amazon Timestream for InfluxDB のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、削除する前に、サービスにリンクされた役割をクリーンアップする必要があります。

Amazon Timestream for InfluxDB は、サービスにリンクされたロールを削除しません。

サービスにリンクされたロールのクリーンアップ

IAM を使用してサービスにリンクされたロールを削除する前に、まずそのロールにリソース (クラスター) が関連付けられていないことを確認します。

サービスにリンクされたロールに IAM コンソールでアクティブなセッションがあるかどうかを確認するには

  1. にサインイン AWS Management Console し、IAM で https://console.aws.amazon.com/iam/ コンソールを開きます。

  2. IAM コンソールの左側のナビゲーションペインで、ロールを選択します。次に、 AmazonTimestreamInfluxDBServiceRolePolicy Wordロールの名前 (チェックボックスではありません) を選択します。

  3. 選択したロールの 概要 ページで、アクセスアドバイザー タブを選択します。

  4. アクセスアドバイザー タブで、サービスにリンクされたロールの最新のアクティビティを確認します。

サービスにリンクされたロールの削除 (IAM コンソール)

IAM コンソールを使用して、サービスにリンクされたロールを削除できます。

サービスにリンクされたロールを削除するには (コンソール)

  1. にサインイン AWS Management Console し、IAM で https://console.aws.amazon.com/iam/ コンソールを開きます。

  2. IAM コンソールの左側のナビゲーションペインで、ロールを選択します。ロール名または行そのものではなく、削除するロール名の横にあるチェックボックスをオンにします。

  3. ページ上部にある ロールのアクションロールの削除 を選択します。

  4. 確認ページで、サービスの最終アクセス時間データを確認します。このデータには、選択した各ロールが最後に AWS サービスにアクセスした日時が表示されます。これは、そのロールが現在アクティブであるかどうかを確認するのに役立ちます。先に進む場合は、Yes, Delete] (はい、削除する) を選択し、削除するサービスにリンクされたロールを送信します。

  5. IAM コンソールの通知を見て、サービスにリンクされたロールの削除の進行状況をモニタリングします。IAM サービスにリンクされたロールの削除は非同期であるため、削除のためにロールを送信すると、削除タスクが成功または失敗する可能性があります。タスクが失敗した場合は、通知から View details] (詳細を表示) または View Resources] (リソースを表示) を選択して、削除が失敗した理由を知ることができます。

サービスにリンクされたロールの削除 (IAMCLI)

から IAM オペレーションを使用して AWS Command Line Interface 、サービスにリンクされたロールを削除できます。

サービスにリンクされたロールを削除するには (CLI)

  1. 削除するサービスにリンクされたロールの名前が分からない場合、以下のコマンドを入力します。このコマンドは、アカウントのロールとその Amazon リソースネーム (ARNs) を一覧表示します。

    $ aws iam get-role --role-name role-name

    ARN オペレーションでロールを参照するには、CLI ではなくロール名を使用します。例えば、ロールに ARNがある場合arn:aws:iam::123456789012:role/myrole、そのロールを と呼びますmyrole

  2. サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから deletion-task-id を取得して、削除タスクのステータスを確認する必要があります。サービスにリンクされたロールの削除リクエストを送信するには、以下を入力します。

    $ aws iam delete-service-linked-role --role-name role-name

  3. 削除タスクのステータスを確認するには、以下を入力します。

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    削除タスクのステータスは、NOT_STARTEDIN_PROGRESSSUCCEEDED、または FAILED となります。削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。

サービスにリンクされたロールの削除 (IAMAPI)

IAM API を使用して、サービスにリンクされたロールを削除できます。

サービスにリンクされたロールを削除するには (API)

  1. サービスにリンクされたロールの削除リクエストを送信するには、 を呼び出します。DeleteServiceLinkedRole。 リクエストで、ロール名を指定します。

    サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから DeletionTaskId を取得して、削除タスクのステータスを確認する必要があります。

  2. 削除のステータスを確認するには、 を呼び出します。GetServiceLinkedRoleDeletionStatus。 リクエストで、 を指定しますDeletionTaskId

    削除タスクのステータスは、NOT_STARTEDIN_PROGRESSSUCCEEDED、または FAILED となります。削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。

InfluxDB サービスにリンクされたロールの Amazon Timestream でサポートされているリージョン

Amazon Timestream for InfluxDB は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、AWS サービスエンドポイントを参照してください。