Shield Advanced のサービスにリンクされたロールの使用 - AWS WAF、 AWS Firewall Manager、および AWS Shield Advanced
Shield Advanced のサービスにリンクされたロールの許可Shield Advanced のサービスにリンクされたロールの作成Shield Advanced のサービスにリンクされたロールの編集Shield Advanced のサービスにリンクされたロールの削除Shield Advanced のサービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Shield Advanced のサービスにリンクされたロールの使用

このセクションでは、サービスにリンクされたロールを使用して、AWS アカウントのリソースへのアクセス権を Shield Advanced に付与する方法について説明します。

AWS Shield Advanced は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Shield Advanced に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、Shield Advanced によって事前に定義され、ユーザーに代わってサービスが他の AWS のサービスを呼び出すために必要な許可がすべて含まれています。

サービスにリンクされたロールを使用することで、必要な許可を手動で追加する必要がなくなるため、Shield Advanced の設定が簡単になります。Shield Advanced は、サービスにリンクされたロールの許可を定義します。特に定義されている場合を除き、Shield Advanced のみがそのロールを引き受けることができます。定義される許可には、信頼ポリシーと許可ポリシーが含まれており、その許可ポリシーを他のIAM エンティティにアタッチすることはできません。

サービスにリンクされたロールは、まずその関連リソースを削除しなければ削除できません。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、Shield Advanced リソースは保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照して、[Service-Linked Role] (サービスにリンクされたロール)列が [Yes] (はい) になっているサービスを探してください。そのサービスに関するサービスにリンクされたロールに関するドキュメントを表示するには、リンクが設定されている [Yes] (はい) を選択します。

Shield Advanced のサービスにリンクされたロールの許可

Shield Advanced は、AWSServiceRoleForAWSShield という名前のサービスにリンクされたロールを使用します。このロールにより、Shield Advanced は、ユーザーに代わってアプリケーションレイヤーの DDoS 攻撃に自動的に対応するために、AWS リソースにアクセスして管理できます。この関数の詳細については、「Shield Advanced によるアプリケーションレイヤー DDoS 自動緩和 」を参照してください。

サービスにリンクされたロール AWSServiceRoleForAWSShield は、次のサービスを信頼してロールを引き受けます。

  • shield.amazonaws.com

AWSShieldServiceRolePolicy という名前のロール許可ポリシーにより、Shield Advanced はすべての AWS リソースに対して次のアクションを実行できます。

  • wafv2:GetWebACL

  • wafv2:UpdateWebACL

  • wafv2:GetWebACLForResource

  • wafv2:ListResourcesForWebACL

  • cloudfront:ListDistributions

  • cloudfront:GetDistribution

すべての AWS リソースでアクションが許可されている場合、ポリシーでは "Resource": "*" として示されます。これは、サービスにリンクされたロールが、アクションがサポートするすべての AWS リソースに対して、示された各アクションを実行できることを意味するに過ぎません。例えば、アクション wafv2:GetWebACLwafv2 ウェブ ACL リソースでのみサポートされます。

Shield Advanced は、アプリケーションレイヤー保護機能を有効にしている保護されたリソースと、それらの保護されたリソースに関連付けられているウェブ ACL についてのみ、リソースレベルの API コールを実行します。

サービスにリンクされたロールの作成、編集、削除をIAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの許可」を参照してください。

Shield Advanced のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。AWS Management Console、AWS CLI、または AWS API のリソースのためにアプリケーションレイヤー DDoS 自動緩和を有効にすると、Shield Advanced はサービスにリンクされたロールを作成します。

このサービスにリンクされたロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。リソースのためにアプリケーションレイヤー DDoS 自動緩和を有効にすると、Shield Advanced は、サービスにリンクされたロールを再作成します。

Shield Advanced のサービスにリンクされたロールの編集

Shield Advanced で、AWSServiceRoleForAWSShield のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

Shield Advanced のサービスにリンクされたロールの削除

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

注記

リソースを削除する際に、Shield Advanced でロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってからオペレーションを再試行してください。

AWSServiceRoleForAWSShield で使用されている Shield Advanced リソースを削除するには

アプリケーションレイヤー DDoS 保護が設定されているすべてのリソースについて、アプリケーションレイヤー DDoS 自動緩和を無効にします。コンソールの手順については、「アプリケーションレイヤー DDoS 保護を設定する」を参照してください。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForAWSShield サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

Shield Advanced のサービスにリンクされたロールをサポートするリージョン

Shield Advanced では、このサービスが利用可能なすべての リージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、「Shield Advanced エンドポイントとクォータ」を参照してください。