Amazon WorkMail のサービスリンクロールの使用 - Amazon WorkMail
Amazon WorkMail のサービスリンクロール許可Amazon WorkMail のサービスリンクロールの作成Amazon WorkMail のサービスリンクロールの編集Amazon WorkMail のサービスリンクロールの削除Amazon WorkMail のサービスリンクロールがサポートされるリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Amazon WorkMail のサービスリンクロールの使用

Amazon WorkMail は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Amazon WorkMail に直接リンクされた特殊な IAM ロールです。サービスにリンクされたロールは Amazon WorkMail によって事前定義されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon WorkMail のセットアップを容易にします。サービスリンクロールの許可は Amazon WorkMail が定義し、別段の定義がない限り、Amazon WorkMail のみがそのロールを引き受けることができます。定義された許可には信頼ポリシーと許可ポリシーが含まれ、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールは、関連する リソースを削除した後でしか削除できません。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon WorkMail リソースを保護します。

サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」で「サービスにリンクされたロール」列が「はい」になっているサービスを検索してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「はい」のリンクをクリックします。

Amazon WorkMail のサービスリンクロール許可

Amazon WorkMail はAmazonWorkMailEvents という名前のサービスにリンクされたロールを使用します。Amazon WorkMail は、このサービスにリンクされたロールを使用して、CloudWatch によってログに記録される E メールイベントのモニタリングなど、Amazon WorkMail イベントによって使用または管理される AWS サービスやリソースへのアクセスを可能にします。Amazon WorkMail の E メールのイベントのログ記録の有効化の詳細については、E メールイベントのログ記録の有効化 を参照してください。

AmazonWorkMailEvents サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。

  • events.workmail.amazonaws.com

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon WorkMail に許可します。

  • アクション: all AWS resources 上の logs:CreateLogGroup

  • アクション: all AWS resources 上で logs:CreateLogStream

  • アクション: logs:PutLogEvents 上で all AWS resources

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、権限を設定する必要があります。詳細については、IAM ユーザーガイドサービスにリンクされたロールのアクセス許可を参照してください。

Amazon WorkMail のサービスリンクロールの作成

サービスリンクロールを手動で作成する必要はありません。Amazon WorkMail イベントログを有効にして Amazon WorkMail コンソールでデフォルト設定を使用すると、Amazon WorkMail によってサービスリンクロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Amazon WorkMail イベントログを有効にしてデフォルト設定を使用すると、Amazon WorkMail によってサービスリンクロールが作成されます。

Amazon WorkMail のサービスリンクロールの編集

Amazon WorkMail では、AmazonWorkMailEvents サービスリンクロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、IAM ユーザーガイドサービスにリンクされたロールの編集を参照してください。

Amazon WorkMail のサービスリンクロールの削除

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしているときに Amazon WorkMail サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。

AmazonWorkMailEvents によって使用されている Amazon WorkMail リソースを削除するには

  1. Amazon WorkMail イベントのログ記録を無効にします。

    1. Amazon WorkMail コンソール (https://console.aws.amazon.com/workmail/) を開きます。

      必要に応じて、 AWS リージョンを変更します。コンソールウィンドウの上部にあるバーで、[リージョンを選択] リストを開き、リージョンを選択します。詳細については、「Amazon Web Services 全般のリファレンス」の「リージョンとエンドポイント」を参照してください。

    2. ナビゲーションペインで [組織] を選択し、組織の名前を選択します。

    3. ナビゲーションペインで、[組織の設定][モニタリング] の順に選択します。

    4. [ログ設定] で、[編集] を選択します。

    5. メールイベントを有効化スライダーをオフの位置に移動します。

    6. [保存] を選択します。

  2. Amazon CloudWatch ロググループを削除します。

    1. CloudWatch コンソール (https://console.aws.amazon.com/cloudwatch/) を開きます。

    2. [Logs] (ログ) を選択します。

    3. [Log Groups] (ロググループ) で、削除するロググループを選択します。

    4. [Actions] (アクション) で、[Delete log group] (ロググループを削除する) を選択します。

    5. [Yes, Delete] (はい、削除します) を選択します。

サービスリンクロールを IAM で手動削除するには

IAM コンソール、 AWS CLI、または AWS API を使用して、AmazonWorkMailEvents サービスにリンクされたロールを削除します。詳細については、IAM ユーザーガイドサービスにリンクされたロールの削除を参照してください。

Amazon WorkMail のサービスリンクロールがサポートされるリージョン

Amazon WorkMail は、このサービスを利用できるすべてのリージョンでサービスリンクロールの使用をサポートします。詳細については、Amazon WorkMail リージョンとエンドポイントを参照してください。