**の新しいコンソールエクスペリエンスの紹介 AWS WAF**
更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。
翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# AWS Shield ネットワークセキュリティディレクターの使用におけるセキュリティ
**注記**
AWS Shield Network Security Director はパブリックプレビューリリースであり、変更される可能性があります。
このセクションでは、このネットワークセキュリティディレクタープレビューを使用する際のセキュリティに関する重要な考慮事項について説明します。
**データソース**
分析を実行すると、Network Security Director はパブリック AWS API エンドポイントを使用して[AWS リソース](https://aws.amazon.com/resourceexplorer/)に関する情報を取得します。取得される情報には、 AWS APIs を通じてアカウントで使用できるリソース属性が含まれます。
AWS Shield ネットワークセキュリティディレクターは、内部 AWS データソースと脅威インテリジェンスを使用して検出結果を特定し、修復を推奨します。
**データ暗号化**
ネットワークセキュリティディレクターを使用する場合は、次の暗号化に関する考慮事項を確認してください。
+ **保管時の暗号化** – すべてのデータは保管時に保護されます。
+ **転送中の暗号化** – 転送中のすべてのデータは、Transport Layer Security (TLS) 暗号化を使用して保護されます。すべての通信は、Amazon Simple Storage Service AWS 署名バージョン 4 (SigV4) を使用して認証されます。SigV4 の詳細については、*Amazon S3 * [ユーザーガイド」の「リクエストの認証 (AWS 署名バージョン 4)](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html)」を参照してください。
+ **キー管理** – カスタマーマネージドキーは、現在サポートされていません。
**Topics**
+ [AWS Shield ネットワークセキュリティディレクターの Identity and Access Management](nsd-iam.md)
+ [AWS Shield ネットワークセキュリティディレクターのアイデンティティベースのポリシーの例](security-nsd-with-iam-id-based-policies.md)
+ [AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの使用](security_iam_nsd-with-iam-roles-service-linked.md)
# AWS Shield ネットワークセキュリティディレクターの Identity and Access Management
**注記**
AWS Shield ネットワークセキュリティディレクターはパブリックプレビューリリースであり、変更される可能性があります。
AWS Identity and Access Management (IAM) は、管理者が AWS リソースへのアクセスを安全に制御 AWS のサービス するのに役立つ です。IAM 管理者は、誰を*認証* (サインイン) し、誰に AWS Shield ネットワークセキュリティディレクターリソースの使用*を許可する* (アクセス許可を付与する) かを制御します。IAM は、追加料金なしで使用できる AWS のサービス です。
このセクションのガイダンスを確認して、 AWS Shield ネットワークセキュリティディレクターでサポートされているポリシーとロールを使用する方法を理解します。
## AWS Shield ネットワークセキュリティディレクターと IAM の連携方法
このセクションでは、 AWS Shield ネットワークセキュリティディレクターで IAM の機能を使用する方法について説明します。
IAM を使用してネットワークセキュリティディレクターへのアクセスを管理する前に、ネットワークセキュリティディレクターで使用できる IAM 機能を確認してください。
**AWS Shield ネットワークセキュリティディレクターで使用できる IAM 機能**
| IAM 機能 | AWS Shield ネットワークセキュリティディレクターのサポート |
| --- | --- |
| [アイデンティティベースのポリシー](#iam_nsd-with-iam-id-based-policies) | はい |
| [サービスにリンクされたロール](security_iam_nsd-with-iam-roles-service-linked.md) | はい |
ネットワークセキュリティディレクターやその他の AWS のサービスがほとんどの IAM 機能と連携する方法の概要については、IAM *ユーザーガイド*の[AWS 「IAM と連携する のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。
### ネットワークセキュリティディレクターのアイデンティティベースのポリシー
**アイデンティティベースのポリシーのサポート:** あり
アイデンティティベースポリシーは、IAM ユーザー、ユーザーグループ、ロールなど、アイデンティティにアタッチできる JSON 許可ポリシードキュメントです。これらのポリシーは、ユーザーとロールが実行できるアクション、リソース、および条件をコントロールします。アイデンティティベースポリシーの作成方法については、「*IAM ユーザーガイド*」の「[カスタマー管理ポリシーでカスタム IAM アクセス許可を定義する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create.html)」を参照してください。
IAM アイデンティティベースのポリシーでは、許可または拒否するアクションとリソース、およびアクションを許可または拒否する条件を指定できます。JSON ポリシーで使用できるすべての要素について学ぶには、「*IAM ユーザーガイド*」の「[IAM JSON ポリシーの要素のリファレンス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements.html)」を参照してください。
AWS Shield ネットワークセキュリティディレクターのアイデンティティベースのポリシーの例を表示するには、「」を参照してください[AWS Shield ネットワークセキュリティディレクターのアイデンティティベースのポリシーの例](security-nsd-with-iam-id-based-policies.md)。
### ネットワークセキュリティディレクターのサービスにリンクされたロール
**サービスリンクロールのサポート:** あり
サービスにリンクされたロールは、 にリンクされたサービスロールの一種です AWS のサービス。サービスは、ユーザーに代わってアクションを実行するロールを引き受けることができます。サービスにリンクされたロールは に表示され AWS アカウント 、サービスによって所有されます。IAM 管理者は、サービスリンクロールのアクセス許可を表示できますが、編集することはできません。
ネットワークセキュリティディレクターのサービスリンクロールの作成または管理の詳細については、「[AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの使用](security_iam_nsd-with-iam-roles-service-linked.md)」を参照してください。
# AWS Shield ネットワークセキュリティディレクターのアイデンティティベースのポリシーの例
**注記**
AWS Shield ネットワークセキュリティディレクターの使用を開始すると、すべての最小アクセス許可要件を満たすサービスにリンクされたロールが自動的に作成されます。独自のアイデンティティベースのポリシーの作成と管理はオプションです。
ネットワークセキュリティディレクターに適切なアクセスを提供するために、管理アクセスと読み取り専用アクセスに必要なアクセス許可を付与するアイデンティティベースのポリシーを作成できます。
IAM ポリシーの作成と管理の詳細については、「*IAM ユーザーガイド*」の「[マネージドポリシーとインラインポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html)」を参照してください。
これらのアクセス許可により、 AWS Shield ネットワークセキュリティディレクターは包括的なセキュリティ分析を実行し、正確なネットワークセキュリティの推奨事項を提供できます。このガイドで提供されるポリシーの例は、一般的なユースケース向けに設計されています。これらのポリシーを出発点として使用し、特定の要件を満たすように必要に応じて変更することができます。
**このガイドのポリシーの例**
+ [管理アクセスアイデンティティベースのポリシー](#nsd-security-admin-id-based-policy)
+ [読み取り専用アクセスアイデンティティベースのポリシー](#nsd-security-readonly-id-based-policy)
## ポリシーに関するベストプラクティス
ID ベースのポリシーは、あるユーザーがアカウント内でネットワークセキュリティディレクターリソースを作成、アクセス、または削除できるどうかを決定します。これらのアクションでは、 AWS アカウントに費用が発生する場合があります。アイデンティティベースポリシーを作成したり編集したりする際には、以下のガイドラインと推奨事項に従ってください:
+ ** AWS 管理ポリシーを開始し、最小特権のアクセス許可に移行する** – ユーザーとワークロードにアクセス許可の付与を開始するには、多くの一般的なユースケースにアクセス許可を付与する*AWS 管理ポリシー*を使用します。これらは で使用できます AWS アカウント。ユースケースに固有の AWS カスタマー管理ポリシーを定義することで、アクセス許可をさらに減らすことをお勧めします。詳細については、*IAM ユーザーガイド* の [AWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) または [ジョブ機能のAWS マネージドポリシー](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) を参照してください。
+ **最小特権を適用する** – IAM ポリシーでアクセス許可を設定する場合は、タスクの実行に必要な許可のみを付与します。これを行うには、特定の条件下で特定のリソースに対して実行できるアクションを定義します。これは、最小特権アクセス許可とも呼ばれています。IAM を使用して許可を適用する方法の詳細については、*IAM ユーザーガイド* の [IAM でのポリシーとアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies.html) を参照してください。
+ **IAM ポリシーで条件を使用してアクセスをさらに制限する** - ポリシーに条件を追加して、アクションやリソースへのアクセスを制限できます。たとえば、ポリシー条件を記述して、すべてのリクエストを SSL を使用して送信するように指定できます。条件を使用して、サービスアクションが などの特定の を通じて使用されている場合に AWS のサービス、サービスアクションへのアクセスを許可することもできます CloudFormation。詳細については、*IAM ユーザーガイド* の [IAM JSON ポリシー要素:条件](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_policies_elements_condition.html) を参照してください。
+ **IAM アクセスアナライザー を使用して IAM ポリシーを検証し、安全で機能的な権限を確保する** - IAM アクセスアナライザー は、新規および既存のポリシーを検証して、ポリシーが IAM ポリシー言語 (JSON) および IAM のベストプラクティスに準拠するようにします。IAM アクセスアナライザーは 100 を超えるポリシーチェックと実用的な推奨事項を提供し、安全で機能的なポリシーの作成をサポートします。詳細については、*IAM ユーザーガイド* の [IAM Access Analyzer でポリシーを検証する](https://docs.aws.amazon.com/IAM/latest/UserGuide/access-analyzer-policy-validation.html) を参照してください。
+ **多要素認証 (MFA) を要求する** – で IAM ユーザーまたはルートユーザーを必要とするシナリオがある場合は AWS アカウント、セキュリティを強化するために MFA を有効にします。API オペレーションが呼び出されるときに MFA を必須にするには、ポリシーに MFA 条件を追加します。詳細については、*IAM ユーザーガイド* の [MFA を使用した安全な API アクセス](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_credentials_mfa_configure-api-require.html) を参照してください。
IAM でのベストプラクティスの詳細については、*IAM ユーザーガイド* の [IAM でのセキュリティのベストプラクティス](https://docs.aws.amazon.com/IAM/latest/UserGuide/best-practices.html) を参照してください。
## アイデンティティベースのポリシーの更新
ネットワークセキュリティディレクターに更新と機能が追加されると、追加のアクセス許可を含めるようにアイデンティティベースのポリシーを更新する必要がある場合があります。このガイドでは、必要となる可能性がある新しいアクセス許可について説明します。
AWS 管理ポリシーとは異なり、カスタマー管理ポリシーは自動的に更新されません。必要に応じて、お客様はこれらのポリシーを維持および更新する責任があります。
詳細については、「*IAM ユーザーガイド*」の「[ユーザーへのアクセス許可の追加](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_users_change-permissions.html#users_change_permissions-add-console)」を参照してください。
## 管理アクセスアイデンティティベースのポリシー
次の例を使用してアイデンティティベースのポリシーを作成し、ネットワークセキュリティディレクターオペレーションへのフル管理アクセスと、必要なサービスにリンクされたロールを作成する機能を提供します。
**ポリシー名**: NetworkSecurityDirectorAdminPolicy
**ポリシーの説明**: Network AWS Shield Security Director オペレーションへの完全な管理アクセスを許可し、Network Security Director のサービスにリンクされたロールを作成または削除するためのアクセスを提供します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:*"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/network-security-director.amazonaws.com/AWSServiceRoleForNetworkSecurityDirector"
}
]
}
```
------
## 読み取り専用アクセスアイデンティティベースのポリシー
次のポリシー例を使用してアイデンティティベースのポリシーを作成して、ネットワークセキュリティディレクターオペレーションへの読み取り専用アクセスを提供します。
**ポリシー名**: NetworkSecurityDirectorReadOnlyPolicy
**ポリシーの説明**: AWS Shield ネットワークセキュリティディレクターへの読み取り専用アクセスを許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"network-security-director:Get*",
"network-security-director:List*"
],
"Resource": "*"
}
]
}
```
------
# AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの使用
このセクションでは、サービスにリンクされたロールを使用して、 AWS Shield ネットワークセキュリティディレクターに AWS アカウントのリソースへのアクセスを許可する方法について説明します。
AWS Shield ネットワークセキュリティディレクターは AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、 AWS Shield ネットワークセキュリティディレクターに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、 AWS Shield ネットワークセキュリティディレクターによって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 AWS Shield ネットワークセキュリティディレクターの設定が簡単になります。 AWS Shield ネットワークセキュリティディレクターは、サービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、 AWS Shield ネットワークセキュリティディレクターのみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。
IAM コンソールで、完全にサービスにリンクされたロール: [NetworkSecurityDirectorServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/NetworkSecurityDirectorServiceLinkedRolePolicy) を参照してください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。
## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールのアクセス許可
`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `network-director.amazonaws.com`
は、ユーザーに代わってさまざまな AWS リソースやサービスにアクセスして分析するためのアクセス許可を AWS Shield ネットワークセキュリティディレクターに`NetworkSecurityDirectorServiceLinkedRolePolicy`付与します。これには、以下が含まれます。
+ Amazon EC2 リソースからネットワーク設定とセキュリティ設定を取得する
+ CloudWatch メトリクスにアクセスしてネットワークトラフィックパターンを分析する
+ ロードバランサーとターゲットグループに関する情報を収集する
+ AWS WAF 設定とルールの収集
+ AWS Direct Connect ゲートウェイ情報へのアクセス
+ さらに、以下のアクセス許可リストで詳しく説明しています
次のリストは、特定のリソースへのダウンスコープをサポートしていないアクセス許可を対象としています。残りは、指定されたサービスリソースに対してダウンスコープされます。
```
{
"Sid": "ResourceLevelPermissionNotSupported",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:GetMetricStatistics",
"ec2:DescribeAvailabilityZones",
"ec2:DescribeCustomerGateways",
"ec2:DescribeInstances",
"ec2:DescribeInternetGateways",
"ec2:DescribeManagedPrefixLists",
"ec2:DescribeNatGateways",
"ec2:DescribeNetworkAcls",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribePrefixLists",
"ec2:DescribeRegions",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeTransitGateways",
"ec2:DescribeTransitGatewayVpcAttachments",
"ec2:DescribeTransitGatewayAttachments",
"ec2:DescribeTransitGatewayPeeringAttachments",
"ec2:DescribeTransitGatewayRouteTables",
"ec2:DescribeVpcEndpoints",
"ec2:DescribeVpcEndpointServiceConfigurations",
"ec2:DescribeVpcPeeringConnections",
"ec2:DescribeVpcs",
"ec2:DescribeVpnConnections",
"ec2:DescribeVpnGateways",
"ec2:GetTransitGatewayRouteTablePropagations",
"ec2:GetManagedPrefixListEntries",
"elasticloadbalancing:DescribeLoadBalancers",
"elasticloadbalancing:DescribeTargetGroups",
"elasticloadbalancing:DescribeTags",
"elasticloadbalancing:DescribeListeners",
"elasticloadbalancing:DescribeTargetHealth",
"elasticloadbalancing:DescribeTargetGroupAttributes",
"elasticloadbalancing:DescribeRules",
"elasticloadbalancing:DescribeLoadBalancencerAttributes",
"wafv2:ListWebACLs",
"cloudfront:ListDistributions",
"cloudfront:ListTagsForResource",
"directconnect:DescribeDirectConnectGateways",
"directconnect:DescribeVirtualInterfaces"
],
"Resource": "*"
}
```
**`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスにリンクされたロールのアクセス許可**
次のリストは、`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスにリンクされたロールによって有効になっているすべてのアクセス許可を対象としています。
Amazon CloudFront
```
{
"Sid": "cloudfront",
"Effect": "Allow",
"Action": [
"cloudfront:GetDistribution"
],
"Resource": "arn:aws:cloudfront::*:distribution/*"
}
```
AWS WAF
```
{
"Sid": "wafv2",
"Effect": "Allow",
"Action": [
"wafv2:ListResourcesForWebACL",
"wafv2:ListRuleGroups",
"wafv2:ListAvailableManagedRuleGroups",
"wafv2:GetRuleGroup",
"wafv2:DescribeManagedRuleGroup",
"wafv2:GetWebACL"
],
"Resource": [
"arn:aws:wafv2:*:*:global/rulegroup/*",
"arn:aws:wafv2:*:*:regional/rulegroup/*",
"arn:aws:wafv2:*:*:global/managedruleset/*",
"arn:aws:wafv2:*:*:regional/managedruleset/*",
"arn:aws:wafv2:*:*:global/webacl/*/*",
"arn:aws:wafv2:*:*:regional/webacl/*/*",
"arn:aws:apprunner:*:*:service/*",
"arn:aws:cognito-idp:*:*:userpool/*",
"arn:aws:ec2:*:*:verified-access-instance/*"
]
}
```
AWS WAF クラシック
```
{
"Sid": "classicWaf",
"Effect": "Allow",
"Action": [
"waf:ListWebACLs",
"waf:GetWebACL"
],
"Resource": [
"arn:aws:waf::*:webacl/*",
"arn:aws:waf-regional:*:*:webacl/*"
]
}
```
AWS Direct Connect
```
{
"Sid": "directconnect",
"Effect": "Allow",
"Action": [
"directconnect:DescribeConnections",
"directconnect:DescribeDirectConnectGatewayAssociations",
"directconnect:DescribeDirectConnectGatewayAttachments",
"directconnect:DescribeVirtualGateways"
],
"Resource": [
"arn:aws:directconnect::*:dx-gateway/*",
"arn:aws:directconnect:*:*:dxcon/*",
"arn:aws:directconnect:*:*:dxlag/*",
"arn:aws:directconnect:*:*:dxvif/*"
]
}
```
AWS Transit Gateway ルート
```
{
"Sid": "ec2Get",
"Effect": "Allow",
"Action": [
"ec2:SearchTransitGatewayRoutes"
],
"Resource": [
"arn:aws:ec2:*:*:transit-gateway-route-table/*"
]
}
```
AWS Network Firewall
```
{
"Sid": "networkFirewall",
"Effect": "Allow",
"Action": [
"network-firewall:ListFirewalls",
"network-firewall:ListFirewallPolicies",
"network-firewall:ListRuleGroups",
"network-firewall:DescribeFirewall",
"network-firewall:DescribeFirewallPolicy",
"network-firewall:DescribeRuleGroup"
],
"Resource": [
"arn:aws:network-firewall:*:*:*/*"
]
}
```
Amazon API Gateway
```
{
"Sid": "apiGatewayGetAPI",
"Effect": "Allow",
"Action": [
"apigateway:GET"
],
"Resource": [
"arn:aws:apigateway:*::/restapis",
"arn:aws:apigateway:*::/restapis/*",
"arn:aws:apigateway:*::/apis",
"arn:aws:apigateway:*::/apis/*",
"arn:aws:apigateway:*::/tags/*",
"arn:aws:apigateway:*::/vpclinks",
"arn:aws:apigateway:*::/vpclinks/*"
]
}
```
## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。最初のネットワーク分析を実行すると、 AWS Shield Network Security Director がサービスにリンクされたロールを作成します。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。 AWS Shield ネットワークセキュリティディレクターのログ記録を有効にすると、 AWS Shield ネットワークセキュリティディレクターはサービスにリンクされたロールを再度作成します。
## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの編集
AWS Shield Network Security Director では、`NetworkSecurityDirectorServiceLinkedRolePolicy`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
これにより、 リソースへのアクセス許可が誤って削除されないため、 AWS Shield ネットワークセキュリティディレクターのリソースが保護されます。
**注記**
リソースを削除しようとしたときに AWS Shield ネットワークセキュリティディレクターサービスがロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。
**IAM を使用してサービスリンクロールを手動で削除するには**
`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールでサポートされているリージョン
**注記**
AWS Shield ネットワークセキュリティディレクターはパブリックプレビューリリースであり、変更される可能性があります。
AWS Shield Network Security Director は、以下のリージョンでサービスにリンクされたロールの使用をサポートし、これらのリージョンのリソースに関するデータのみを取得できます。
| リージョン名 | リージョン |
| --- | --- |
| 米国東部 (バージニア北部) | us–east–1 |
| 欧州 (ストックホルム) | eu-north-1 |
| アジアパシフィック (タイ) | ap-southeast-7 |
| アフリカ (ケープタウン) | ap-south-1 |
| 米国東部 (オハイオ) | us-east-2 |
| アジアパシフィック (マレーシア) | ap-southeast-5 |
| アジアパシフィック (東京) | ap-northeast-1 |
| 米国西部 (オレゴン) | us-west-2 |
| 欧州 (スペイン) | eu-south-2 |
| 欧州 (アイルランド) | eu-west-1 |
| 欧州 (フランクフルト) | eu-central-1 |
| アジアパシフィック (香港) | ap-east-1 |
| アジアパシフィック (シンガポール) | ap-southeast-1 |
| アジアパシフィック (シドニー) | ap-southeast-2 |