Fault Injection Service AWS のサービスにリンクされたロールを使用する - AWS Fault Injection Service
のサービスにリンクされたロールのアクセス許可 AWS FISのサービスにリンクされたロールを作成する AWS FISのサービスにリンクされたロールを編集する AWS FISのサービスにリンクされたロールを削除する AWS FISAWS FIS のサービスにリンクされたロールをサポートするリージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Fault Injection Service AWS のサービスにリンクされたロールを使用する

AWS Fault Injection Service は AWS Identity and Access Management 、(IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、直接リンクされた一意のタイプのIAMロールです AWS FIS。サービスにリンクされたロールは、 AWS FIS による事前定義済みのロールであり、ユーザーに代わってサービスから AWS の他のサービスを呼び出すために必要なすべてのアクセス許可を備えています。

サービスにリンクされたロールを使用すると、モニタリングを管理やリソースの選択に必要なアクセス許可を手動で追加する必要がなくなるため、 AWS FIS の設定が簡単になります。 AWS FIS は、このサービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、 AWS FIS のみがそのロールを引き受けることができます。定義されるアクセス権限には、信頼ポリシーやアクセス権限ポリシーなどがあり、そのアクセス権限ポリシーをその他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールに加えて、実験テンプレートでターゲットとして指定したリソースを変更するアクセス許可を付与する IAMロールも指定する必要があります。詳細については、「AWS FIS 実験用の IAM ロール」を参照してください。

サービスリンクロールは、関連する リソースを削除した後でしか削除できません。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、 AWS FIS リソースが保護されます。

のサービスにリンクされたロールのアクセス許可 AWS FIS

AWS FIS は、 という名前のサービスにリンクされたロールAWSServiceRoleForFISを使用して、実験のモニタリングとリソース選択を管理できるようにします。

AWSServiceRoleForFIS サービスにリンクされたロールは、以下のサービスを信頼して、ロールを推測します。

  • fis.amazonaws.com

AWSServiceRoleForFIS サービスにリンクされたロールは、 マネージドポリシー A mazonFISServiceRolePolicyを使用します。 このポリシーにより AWS FIS、 は実験のモニタリングとリソース選択を管理できます。詳細については、「 AWS マネージドポリシーリファレンス」の「AmazonFISServiceRolePolicy」を参照してください。

IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス権限を設定する必要があります。AWSServiceRoleForFIS サービスにリンクされたロールを適切に作成するには、 AWS FIS を使用する IAM アイデンティティに、必要なアクセス権限が付与されている必要があります。必要なアクセス許可を付与するには、IAMID に次のポリシーをアタッチします。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "fis.amazonaws.com"
                }
            }
        }
    ]
}

詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

のサービスにリンクされたロールを作成する AWS FIS

サービスにリンクされたロールを手動で作成する必要はありません。 AWS Management Console、、 AWS CLIまたは で実験を開始する AWS FISと AWS API、 AWS FISによってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。 AWS FIS 実験を開始すると、 AWS FIS により、サービスにリンクされたロールが再度作成されます。

のサービスにリンクされたロールを編集する AWS FIS

AWS FIS では、AWSServiceRoleForFIS のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成した後は、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの編集」を参照してください。

のサービスにリンクされたロールを削除する AWS FIS

サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

注記

リソースをクリーンアップする際に、 AWS FIS サービスでロールが使用されている場合、クリーンアップは失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForFIS によって AWS FIS リソースをクリーンアップするには

どの実験も現在実行されていないことを確認してください。必要に応じて、実験を中止してください。詳細については、「実験を中止する」を参照してください。

を使用してサービスにリンクされたロールを手動で削除するには IAM

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForFISサービスにリンクされたロールを削除します。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

AWS FIS のサービスにリンクされたロールをサポートするリージョン

AWS FIS では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。詳細については、 「AWS Fault Injection Service エンドポイントとクォータ」を参照してください。