CloudWatch ログのサービスにリンクされたロールの使用 - Amazon CloudWatch Logs
CloudWatch Logs のサービスにリンクされたロールのアクセス許可 CloudWatch Logs のサービスにリンクされたロールの作成 CloudWatch Logs のサービスにリンクされたロールの編集 CloudWatch Logs のサービスにリンクされたロールの削除

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

CloudWatch ログのサービスにリンクされたロールの使用

Amazon CloudWatch Logs は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、 CloudWatch ログに直接リンクされた一意のタイプのIAMロールです。サービスにリンクされたロールは CloudWatch Logs によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 CloudWatch ログの設定がより効率的になります。 CloudWatch Logs はサービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、 CloudWatch Logs のみがそれらのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。アクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、「 AWS と連携する のサービスIAM」を参照してください。[サービスにリンクされたロール] 列が「はい」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[はい] リンクを選択します。

CloudWatch Logs のサービスにリンクされたロールのアクセス許可

CloudWatch ログは、 という名前のサービスにリンクされたロールを使用します。 AWSServiceRoleForLogDelivery。 CloudWatch Logs は、このサービスにリンクされたロールを使用して Firehose に直接ログを書き込みます。詳細については、「AWS サービスからのログ記録を有効にする」を参照してください。

AWSServiceRoleForLogDelivery サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。

  • logs.amazonaws.com

ロールのアクセス許可ポリシーにより、 CloudWatch Logs は指定されたリソースに対して次のアクションを実行できます。

  • アクション: 値が TrueLogDeliveryEnabled キーを持つタグが付いたすべての Firehose ストリーム上で firehose:PutRecordBatch および firehose:PutRecord。このタグは、ログを Firehose に配信するサブスクリプションを作成すると、Firehose ストリームに自動的にアタッチされます。

IAM エンティティがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス許可を設定する必要があります。このエンティティは、ユーザー、グループ、またはロールです。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

CloudWatch Logs のサービスにリンクされたロールの作成

サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは で Firehose ストリームに直接送信するようにログを設定すると AWS API、 CloudWatch Logs によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。Firehose ストリームに直接送信するようにログを再度設定すると、 CloudWatch Logs によってサービスにリンクされたロールが再度作成されます。

CloudWatch Logs のサービスにリンクされたロールの編集

CloudWatch ログでは編集できません AWSServiceRoleForLogDelivery、またはその他のサービスにリンクされたロールを作成した後。さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

CloudWatch Logs のサービスにリンクされたロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに CloudWatch Logs サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

で使用される CloudWatch Logs リソースを削除するには AWSServiceRoleForLogDelivery サービスにリンクされたロール

  • Firehose ストリームへのログの直接送信を停止します。

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、 AWS CLI、または AWS APIを使用して を削除する AWSServiceRoleForLogDelivery サービスにリンクされたロール。詳細については、「サービスにリンクされたロールの削除」を参照してください。

CloudWatch Logs サービスにリンクされたロールでサポートされているリージョン

CloudWatch ログは、サービスが利用可能なすべての AWS リージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、CloudWatch 「ログのリージョンとエンドポイント」を参照してください。