のサービスにリンクされたロールのアクセス許可 AWS Config のサービスにリンクされたロールの作成 AWS Config のサービスにリンクされたロールの編集 AWS Config のサービスにリンクされたロールの削除 AWS Config

のサービスにリンクされたロールの使用 AWS Config

AWS Config は AWS Identity and Access Management 、（IAM）サービスにリンクされたロールを使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプのIAMロールです AWS Config。サービスにリンクされたロールは、によって事前定義 AWS Config されており、ユーザーに代わってサービスから他の AWS のサービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、の設定 AWS Config が簡単になります。は、サービスにリンクされたロールのアクセス許可 AWS Config を定義します。特に定義されている場合を除き、のみがそのロールを引き受け AWS Config ることができます。定義されるアクセス権限には、信頼ポリシーやアクセス権限ポリシーなどがあり、そのアクセス権限ポリシーをその他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、AWS 「と連携するサービスIAM」を参照し、「サービスにリンクされたロール」列で「はい」があるサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

のサービスにリンクされたロールのアクセス許可 AWS Config

AWS Config は、という名前のサービスにリンクされたロール AWS Config を使用しますAWSConfigServiceRolePolicy。はこのサービスにリンクされたロールを使用して、ユーザーに代わって他の AWS サービスを呼び出します。

AWSConfigServiceRolePolicy サービスにリンクされたロールは、ロールを継承するために config.amazonaws.com のサービスを信頼します。

AWSConfigServiceRolePolicy ロールのアクセス許可ポリシーには、 AWS Config リソースに対する読み取り専用アクセス許可と書き込みアクセス許可、およびが AWS Config サポートする他のサービスのリソースに対する読み取り専用アクセス許可が含まれています。管理ポリシーを表示するにはAWSConfigServiceRolePolicy、「 AWS の管理ポリシー AWS Config」を参照してください。詳細については、「でサポートされているリソースタイプ AWS Config」を参照してください。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

でサービスにリンクされたロールを使用するには AWS Config、Amazon S3 バケットと Amazon SNSトピックに対するアクセス許可を設定する必要があります。詳細については、サービスでリンクされたロールの使用時に Amazon S3 バケットに必要なアクセス許可、サービスにリンクされたロールを使用する場合の AWS KMS キーに必要なアクセス許可 (S3 バケット配信）、サービスにリンクされたロールを使用するときに Amazon SNSトピックに必要なアクセス許可を参照してください。

のサービスにリンクされたロールの作成 AWS Config

IAM CLI または IAM でAPI、サービス名を使用してconfig.amazonaws.comサービスにリンクされたロールを作成します。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

のサービスにリンクされたロールの編集 AWS Config

AWS Config では、AWSConfigServiceRolePolicyサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「ユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。 IAM

のサービスにリンクされたロールの削除 AWS Config

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースを削除しようとしたときに AWS Config サービスがロールを使用している場合、削除が失敗する可能性があります。失敗した場合は、数分待ってから操作を再試行してください。

が使用する AWS Config リソースを削除するには AWSConfigServiceRolePolicy

サービスにリンクされたロールを使用して、ConfigurationRecorders がないことを確認します。 AWS Config コンソールを使用して設定レコーダーを停止できます。記録を停止するには、[Recording is on] (記録はオン) の [Turn off] (無効) を選択します。

ConfigurationRecorder を使用してを削除できます AWS Config API。削除するには、delete-configuration-recorder コマンドを使用します。



        $ aws configservice delete-configuration-recorder --configuration-recorder-name default

IAM を使用して、サービスにリンクされたロールを手動で削除するには

IAM コンソール、CLI、または IAM IAMAPIを使用して、サービスにリンクされたロールを削除します AWSConfigServiceRolePolicy。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

ブラウザで JavaScript が無効になっているか、使用できません。

AWS ドキュメントを使用するには、JavaScript を有効にする必要があります。手順については、使用するブラウザのヘルプページを参照してください。

ドキュメントの表記規則

トラブルシューティング

インシデントへの対応