Shield Advanced のサービスにリンクされたロールの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
Shield Advanced のサービスにリンクされたロールの許可Shield Advanced のサービスにリンクされたロールの作成Shield Advanced のサービスにリンクされたロールの編集Shield Advanced のサービスにリンクされたロールの削除Shield Advanced のサービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced のサービスにリンクされたロールの使用

AWS Shield Advanced AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用する。サービスにリンクされたロールは、Shield Advanced に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Shield Advanced によって事前定義されており、 AWS ユーザーに代わってサービスが他のサービスを呼び出すために必要なすべての権限が含まれます。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Shield Advanced の設定が簡単になります。Shield Advanced は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、Shield Advanced のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、Shield Advanced リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携するAWS のサービス」を参照して、[Service-Linked Role] (サービスにリンクされたロール)列が [Yes] (はい) になっているサービスを探してください。そのサービスに関するサービスにリンクされたロールに関するドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

Shield Advanced のサービスにリンクされたロールの許可

Shield アドバンスドは、という名前のサービスにリンクされたロールを使用します。AWSServiceRoleForAWSShieldこのロールにより、Shield AWS Advancedはリソースにアクセスして管理し、ユーザーに代わってアプリケーションレイヤーのDDoS攻撃に自動的に対応することができます。この関数の詳細については、「Shield Advanced アプリケーションレイヤー DDoS 自動緩和」を参照してください。

AWSServiceRoleForAWSShield サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。

  • shield.amazonaws.com

AWSShieldServiceRolePolicy という名前のロール権限ポリシーにより、Shield Advanced AWS はすべてのリソースで以下のアクションを実行できます。

  • wafv2:GetWebACL

  • wafv2:UpdateWebACL

  • wafv2:GetWebACLForResource

  • wafv2:ListResourcesForWebACL

  • cloudfront:ListDistributions

  • cloudfront:GetDistribution

AWS すべてのリソースに対してアクションが許可されている場合、ポリシーではと表示されます"Resource": "*"。これは、サービスにリンクされたロールが、 AWS アクションがサポートするすべてのリソースに対して、指定されたアクションをそれぞれ実行できるということだけです。例えば、アクション wafv2:GetWebACLwafv2 ウェブ ACL リソースでのみサポートされます。

Shield Advanced は、アプリケーションレイヤー保護機能を有効にしている保護されたリソースと、それらの保護されたリソースに関連付けられているウェブ ACL についてのみ、リソースレベルの API コールを実行します。

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

Shield Advanced のサービスにリンクされたロールの作成

サービスリンクロールを手動で作成する必要はありません。、、または AWS API 内のリソースに対して自動アプリケーション層の DDoS 軽減を有効にすると AWS Management Console、Shield Advanced がサービスにリンクされたロールを自動的に作成します。 AWS CLI

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。リソースのためにアプリケーションレイヤー DDoS 自動緩和を有効にすると、Shield Advanced は、サービスにリンクされたロールを再作成します。

Shield Advanced のサービスにリンクされたロールの編集

Shield アドバンスドでは、 AWSServiceRoleForAWSShield サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Shield Advanced のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Shield Advanced でロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってからオペレーションを再試行してください。

が使用している Shield アドバンスドリソースを削除するには AWSServiceRoleForAWSShield

アプリケーションレイヤー DDoS 保護が設定されているすべてのリソースについて、アプリケーションレイヤー DDoS 自動緩和を無効にします。コンソールの手順については、「アプリケーションレイヤー DDoS 保護を設定する」を参照してください。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、 AWSServiceRoleForAWSShieldサービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Shield Advanced のサービスにリンクされたロールをサポートするリージョン

Shield Advanced では、このサービスが利用可能なすべての リージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「Shield Advanced エンドポイントとクォータ」を参照してください。