App Mesh のサービスリンクロールの使用 - AWS App Mesh
App Mesh のサービスリンクロールにおけるアクセス許可App Mesh のサービスリンクロールの作成App Mesh のサービスリンクロールの編集App Mesh でのサービスリンクロールの削除App Mesh サービスリンクロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

App Mesh のサービスリンクロールの使用

重要

サポート終了通知: 2026 年 9 月 30 日、 は のサポートを中止 AWS します AWS App Mesh。2026 年 9 月 30 日以降、 AWS App Mesh コンソールまたは AWS App Mesh リソースにアクセスできなくなります。詳細については、このブログ記事の「 から Amazon ECS Service Connect AWS App Mesh への移行」を参照してください。

AWS App Mesh は AWS Identity and Access Management (IAM) サービスにリンクされたロール を使用します。サービスにリンクされたロールは、App Mesh に直接リンクされる一意のタイプのIAMロールです。サービスにリンクされたロールは App Mesh によって事前定義されており、ユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、App Mesh の設定が簡単になります。App Mesh は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、App Mesh のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス許可ポリシーが含まれ、そのアクセス許可ポリシーを他のIAMエンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これにより、リソースへのアクセス許可を不用意に削除することができないため、App Mesh のリソースを保護することができます。

サービスにリンクされたロールをサポートする他のサービスの詳細については、「 AWS と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。そのサービスに対するサービスリンクロールに関するドキュメントを表示するには、リンク付きのはいを選択します。

App Mesh のサービスリンクロールにおけるアクセス許可

App Mesh は、 という名前のサービスにリンクされたロールを使用しますAWSServiceRoleForAppMesh。このロールにより、App Mesh はユーザーに代わって AWS サービスを呼び出すことができます。

AWSServiceRoleForAppMesh サービスにリンクされたロールは、appmesh.amazonaws.comサービスを信頼してロールを引き受けます。

アクセス許可の詳細

  • servicediscovery:DiscoverInstances‐App Mesh がすべての AWS リソースでアクションを完了できるようにします。

  • servicediscovery:DiscoverInstancesRevision ‐ App Mesh がすべての AWS リソースに対してアクションを実行できるようにします。

このポリシーには、以下の権限が含まれています。

{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "CloudMapServiceDiscovery",
			"Effect": "Allow",
			"Action": [
				"servicediscovery:DiscoverInstances",
				"servicediscovery:DiscoverInstancesRevision"
			],
			"Resource": "*"
		},
		{
			"Sid": "ACMCertificateVerification",
			"Effect": "Allow",
			"Action": [
				"acm:DescribeCertificate"
			],
			"Resource": "*"
		}
	]
}

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、または削除できるようにするアクセス許可を設定する必要があります。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

App Mesh のサービスリンクロールの作成

、、 AWS CLIまたは で 2019 年 6 月 5 AWS Management Console日以降にメッシュを作成した場合 AWS API、App Mesh はサービスにリンクされたロールを作成しました。サービスにリンクされたロールが作成されるようにするには、メッシュの作成に使用したIAMアカウントでAWSAppMeshFullAccessIAM、ポリシーがアタッチされているか、アクセスiam:CreateServiceLinkedRole許可を含むポリシーがアタッチされている必要があります。このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。メッシュを作成すると、App Mesh はサービスリンクロールを再度作成します。アカウントに 2019 年 6 月 5 日より前に作成されたメッシュのみが含まれており、それらのメッシュでサービスにリンクされたロールを使用する場合は、IAMコンソールを使用してロールを作成できます。

IAM コンソールを使用して、App Mesh ユースケースを使用してサービスにリンクされたロールを作成できます。 AWS CLI または で AWS API、サービス名を使用してappmesh.amazonaws.comサービスにリンクされたロールを作成します。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

App Mesh のサービスリンクロールの編集

App Mesh では、 AWSServiceRoleForAppMesh サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、 を使用してロールの説明を編集できますIAM。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

App Mesh でのサービスリンクロールの削除

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに AppMesh サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

で使用される App Mesh リソースを削除するには AWSServiceRoleForAppMesh

  1. メッシュ内のすべてのルータに定義されているルートをすべて削除します。

  2. メッシュ内の仮想ルーターをすべて削します。

  3. メッシュ内の仮想サービスをすべて削します。

  4. メッシュ内の仮想ノードをすべて削除します。

  5. メッシュを削除します。

アカウント内のすべてのメッシュについて、前の手順を完了します。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、 AWS CLI、または AWS API を使用して、 AWSServiceRoleForAppMesh サービスにリンクされたロールを削除します。詳細については、IAM「 ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

App Mesh サービスリンクロールをサポートするリージョン

App Mesh では、このサービスが利用可能なすべてのリージョンで、サービスリンクロールの使用がサポートされています。詳細については、「App Mesh エンドポイントとクォータ」を参照してください。