翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# CloudWatch Logs のサービスにリンクされたロールの使用
<a name="using-service-linked-roles-cwl"></a>

Amazon CloudWatch Logs は AWS Identity and Access Management 、(IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)を使用します。サービスにリンクされたロールは、CloudWatch Logs に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは CloudWatch Logs によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールでは、必要なアクセス許可を手動で追加する必要がないため、CloudWatch Logs の設定が効率的になります。CloudWatch Logs は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されていない限り、CloudWatch Logs のみがこれらのロールを引き受けることができます。定義されたアクセス権限には、信頼ポリシーとアクセス権限ポリシーが含まれます。アクセス権限ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートしているその他のサービスの詳細については、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。**サービスにリンクされたロール**列が「**はい**」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[**はい**] リンクを選択します。

## CloudWatch Logs のサービスにリンクされたロールの許可
<a name="slr-permissions"></a>

CloudWatch Logs は **AWSServiceRoleForLogDelivery** というサービスにリンクされたロールを使用します。CloudWatch Logs は、このサービスにリンクされたロールを使用して Firehose に直接ログを書き込みます。詳細については、「[AWS サービスからのログ記録を有効にする](AWS-logs-and-resource-policy.md)」を参照してください。

**AWSServiceRoleForLogDelivery** サービスリンク役割は役割の引き受けについて以下のサービスを信頼します。
+ `logs.amazonaws.com`

ロールのアクセス許可ポリシー により**AWSServiceRoleForLogDeliveryPolicy**、CloudWatch Logs は指定されたリソースに対して次のアクションを実行できます。JSON ポリシードキュメントの詳細については、*AWS 「 マネージドポリシーリファレンスガイド*」の[AWSServiceRoleForLogDeliveryPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSServiceRoleForLogDeliveryPolicy.html)」を参照してください。
+ アクション: 値 `firehose:PutRecord`の`LogDeliveryEnabled`キーを持つタグを持つすべての Firehose 配信ストリーム`firehose:ListTagsForDeliveryStream`で、`firehose:PutRecordBatch`、、および `true`。このタグは、Firehose にログを配信するサブスクリプションを作成すると、Firehose 配信ストリームに自動的にアタッチされます。
+ アクション: すべての AWS KMS キー`kms:Decrypt`で `kms:GenerateDataKey`および 。ただし、リクエストが Firehose を介して行われた場合のみ ( に設定された`kms:ViaService`条件キーによって強制されます`firehose.*.amazonaws.com`)。これらのアクセス許可により、CloudWatch Logs はカスタマーマネージドキーによるサーバー側の暗号化 (SSE-CMK) を使用する Firehose 配信ストリームにログを配信できます。顧客の AWS KMS キーポリシーは、サービスにリンクされたロールへのアクセスを個別に許可する必要があります。

IAM エンティティがサービスにリンクされたロールを作成、編集、削除できるようにするには、アクセス許可を設定する必要があります。このエンティティは、ユーザー、グループ、またはロールです。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## CloudWatch Logs のサービスにリンクされたロールの作成
<a name="create-slr"></a>

サービスにリンクされたロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Firehose ストリームに直接送信されるログを設定すると、CloudWatch Logs によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。Firehose ストリームに直接送信するように再度ログを設定すると、CloudWatch Logs によってサービスにリンクされたロールが再び作成されます。

## CloudWatch Logs のサービスにリンクされたロールの編集
<a name="edit-slr"></a>

CloudWatch Logs では、ロールを作成した後に、**AWSServiceRoleForLogDelivery** または他のサービスにリンクされたロールを編集することはできません。さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## CloudWatch Logs のサービスにリンクされたロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除する際に、CloudWatch Logs サービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

****AWSServiceRoleForLogDelivery** サービスにリンクされたロールによって使用されている CloudWatch Logs リソースを削除するには**
+ Firehose ストリームへのログの直接送信を停止します。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForLogDelivery**サービスにリンクされたロールを削除します。詳細については、「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

### CloudWatch Logs のサービスにリンクされたロールでサポートされるリージョン
<a name="slr-regions"></a>

CloudWatch Logs は、サービスが利用可能なすべての AWS リージョンでサービスにリンクされたロールの使用をサポートしています。詳細については、「[CloudWatch Logs リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html#cwl_region)」を参照してください。