Macie のサービスリンクロールの使用 - Amazon Macie
Macie のサービスにリンクされたロールのアクセス許可Macie サービスリンクロールを作成するMacie サービスリンクロールを編集するMacie サービスリンクロールを削除するサポート AWS リージョン

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

Macie のサービスリンクロールの使用

Amazon Macie は、 という名前の AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用しますAWSServiceRoleForAmazonMacie。このサービスにリンクされたロールは、Macie に直接リンクされた IAMロールです。これは Macie によって事前定義されており、Macie がユーザーに代わって他の を呼び出し AWS のサービス て AWS リソースをモニタリングするために必要なすべてのアクセス許可が含まれています。Macie は、Macie AWS リージョン が利用可能なすべての でこのサービスにリンクされたロールを使用します。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Macie の設定が簡単になります。Macie は、このサービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Macie のみがそのロールを引き受けることができます。定義されるアクセス権限には、信頼ポリシーやアクセス許可ポリシーなどがあり、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「」を参照してください。 AWS のサービス は と連携IAMし、「サービスにリンクされたロール」列で「はい」を持つサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、[Yes] (はい) リンクを選択します。

Macie のサービスにリンクされたロールのアクセス許可

Amazon Macie では、AWSServiceRoleForAmazonMacie という名称のサービスリンクロールを使用します。このサービスリンクロールは、ロールを引き受ける上で macie.amazonaws.com サービスを信頼します。

AmazonMacieServiceRolePolicy と呼ばれるロールのアクセス許可ポリシーにより、Macie は次のようなタスクを、指定されたリソースで実行することが許可されます:

  • Amazon S3 アクションを使用して、S3 バケットとオブジェクトに関する情報を取得します。

  • Amazon S3 アクションを使用して、S3 オブジェクトを取得します。

  • AWS Organizations アクションを使用して、関連付けられたアカウントに関する情報を取得します。

  • Amazon CloudWatch Logs アクションを使用して、機密データ検出ジョブのイベントをログに記録します。

このポリシーのアクセス許可を確認するには、「 AWS マネージドポリシーリファレンスガイドAmazonMacieServiceRolePolicy」の「」を参照してください。

このポリシーの更新の詳細については、「」を参照してくださいMacie の AWS マネージドポリシーの更新。このポリシーの変更に関する自動通知については、Macie ドキュメント履歴ページのRSSフィードにサブスクライブしてください。

IAM エンティティ (ユーザーやロールなど) のアクセス許可を設定して、エンティティがサービスにリンクされたロールを作成、編集、または削除できるようにする必要があります。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールのアクセス許可」を参照してください。

Macie のサービスリンクロールを作成する

Amazon Macie 向けに AWSServiceRoleForAmazonMacie サービスリンクロールを手動で作成する必要はありません。で Macie を有効にすると AWS アカウント、Macie は自動的にサービスにリンクされたロールを作成します。

この Macie サービスリンクロールを削除した後、また作成が必要になった場合は、同じプロセスでユーザーのアカウントにそのロールを再作成することができます。Macie を再び有効にすると、Macie はユーザー用にサービスリンクロールを再度作成します。

Macie のサービスリンクロールを編集する

Amazon Macie では、AWSServiceRoleForAmazonMacie のサービスリンクロールを編集することはできません。サービスリンクロールが作成されると、多くのエンティティによってそのロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの更新」を参照してください。

Macie のサービスリンクロールを削除する

サービスリンクロールを削除するには、その関連リソースを削除します。これにより、リソースにアクセスするための許可を意図せず削除することが防止され、 リソースが保護されます。

Amazon Macie が不要になった場合は、AWSServiceRoleForAmazonMacie のサービスリンクロールを手動で削除することをお勧めします。Macie を無効化しても、Macie はそのロールを削除しません。

ロールを削除する前に、そのロールを有効にした各 AWS リージョン で Macie を無効にする必要があります。また、ロールのリソースは手動でクリーンアップする必要があります。ロールを削除するには、 IAMコンソール、、 AWS CLIまたは を使用できます AWS API。詳細については、「 IAMユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。

注記

リソースを削除する際に、AWSServiceRoleForAmazonMacie のロールが使用されている場合、削除が失敗することがあります。その場合は、数分待ってから操作を再試行してください。

AWSServiceRoleForAmazonMacie サービスリンクロールを削除した後、また作成が必要になった場合は、ユーザーのアカウント用の Macie を有効化することで再作成することができます。Macie を再び有効にすると、Macie はユーザー用にサービスリンクロールを再度作成します。

Macie サービスにリンクされたロール AWS リージョン でサポート

Amazon Macie は、Macie AWS リージョン が利用可能なすべての で、AWSServiceRoleForAmazonMacieサービスにリンクされたロールの使用をサポートしています。Macie が現在利用可能なリージョンの一覧については、AWS 全般のリファレンスAmazon Macie エンドポイントとクォータを参照してください。