# CloudWatch のサービスにリンクされたロールの使用
Amazon CloudWatch は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、CloudWatch に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、CloudWatch によって事前定義されており、お客様の代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。
CloudWatch のサービスにリンクされたロールを使用すると、必要なアクセス権限を手動で追加しなくても、Amazon EC2 インスタンスを終了、停止、または再起動できる CloudWatch アラームを設定できます。別のサービスにリンクされたロールを使用すると、モニターリングアカウントが、指定した他のアカウントの CloudWatch データにアクセスし、クロスアカウントクロスリージョンダッシュボードを構築できるようになります。
CloudWatch は、サービスにリンクされたロールのアクセス権限を定義します。特に定義されている場合を除き、CloudWatch はそのロールのみを引き受けることができます。定義される許可は、信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
ロールを削除するには、まず関連リソースを削除します。この制限により、不注意でリソースにアクセスするアクセス許可の削除が防止され、CloudWatch リソースは保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[**はい**] リンクを選択します。
## CloudWatch アラーム EC2 アクションについてのサービスにリンクされたロールの許可
CloudWatch は、**AWSServiceRoleForCloudWatchEvents** という名前のサービスにリンクされたロールを使用します – CloudWatch は、このサービスにリンクされたロールを使用して Amazon EC2 アラームアクションを実行します。
AWSServiceRoleforCloudWatchEvents サービスにリンクされたロールは、CloudWatch Events サービスを信頼してロールを継承します。CloudWatch Events は、アラームにより呼び出されたときにインスタンスアクションを終了、停止、または再起動を呼び出します。
AWSServiceRoleForCloudWatchEvents サービスにリンクされたロールのアクセス許可ポリシーでは、CloudWatch Events が Amazon EC2 インスタンスで以下のアクションを実行できます。
+ `ec2:StopInstances`
+ `ec2:TerminateInstances`
+ `ec2:RecoverInstances`
+ `ec2:DescribeInstanceRecoveryAttribute`
+ `ec2:DescribeInstances`
+ `ec2:DescribeInstanceStatus`
**AWSServiceRoleForCloudWatchCrossAccount** サービスにリンクされたロールのアクセス権限ポリシーでは、CloudWatch は、次のアクションを完了することができます。
+ `sts:AssumeRole`
## CloudWatch テレメトリ設定のサービスにリンクされたロール許可
CloudWatch オブザーバビリティ管理者は、**[AWSServiceRoleForObservabilityAdmin]** という名前のサービスにリンクされたロールを作成して使用します。CloudWatch はこのサービスにリンクされたロールを使用し、AWS Organizations のリソースおよびテレメトリ設定の検出をサポートします。ロールは、組織のすべてのメンバーアカウントで作成されます。
**[AWSServiceRoleForObservabilityAdmin]** サービスにリンクされたロールは、オブザーバビリティ管理者がロールを引き受けるために信頼します。オブザーバビリティ管理者は、Organizations アカウントの AWS Config Service Linked Configuration Recorder および Service Linked Configuration Aggregator を管理します。
**[AWSServiceRoleForObservabilityAdmin]** サービスにリンクされたロールには、AWSObservabilityAdminServiceRolePolicy という名前のポリシーがアタッチされます。次のアクションを完了するため、このポリシーは CloudWatch オブザーバビリティにアクセス許可を付与します。
+ `organizations:ListAccounts`
+ `organizations:ListAccountsForParent`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:DescribeOrganization`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:EnableAWSServiceAccess`
+ `organizations:ListDelegatedAdministrators`
+ `config:PutServiceLinkedConfigurationRecorder`
+ `config:DeleteServiceLinkedConfigurationRecorder`
+ `config:PutConfigurationAggregator`
+ `config:DeleteConfigurationAggregator`
+ `config:SelectAggregateResourceConfig`
+ `iam:CreateServiceLinkedRole`
+ `iam:PassRole`
AWSObservabilityAdminServiceRolePolicy ポリシーの完全な内容は次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"organizations:ListAccounts",
"organizations:ListAccountsForParent",
"organizations:ListChildren",
"organizations:ListParents",
"organizations:DescribeOrganization",
"organizations:DescribeOrganizationalUnit"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": [
"config:PutServiceLinkedConfigurationRecorder",
"config:DeleteServiceLinkedConfigurationRecorder"
],
"Resource": [
"arn:aws:config:*:*:configuration-recorder/AWSConfigurationRecorderForObservabilityAdmin/*"
]
},
{
"Effect": "Allow",
"Action": [
"config:PutConfigurationAggregator",
"config:DeleteConfigurationAggregator",
"config:SelectAggregateResourceConfig"
],
"Resource": [
"arn:aws:config:*:*:config-aggregator/aws-service-config-aggregator/observabilityadmin.amazonaws.com/*"
]
},
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:AWSServiceName": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"iam:PassRole"
],
"Resource": [
"arn:aws:iam::*:role/aws-service-role/config.amazonaws.com/AWSServiceRoleForConfig"
],
"Condition": {
"StringEquals": {
"iam:PassedToService": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:EnableAWSServiceAccess"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"config.amazonaws.com"
]
}
}
},
{
"Effect": "Allow",
"Action": [
"organizations:ListDelegatedAdministrators"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"organizations:ServicePrincipal": [
"observabilityadmin.amazonaws.com",
"config.amazonaws.com"
]
}
}
}
]
}
```
------
## CloudWatch テレメトリ有効化のサービスにリンクされたロールのアクセス許可
`AWSObservabilityAdminTelemetryEnablementServiceRolePolicy` は、テレメトリルールに基づいて AWS リソースのテレメトリ設定を有効化および管理するために必要なアクセス許可を付与します。
このポリシーは、以下のアクセス許可を付与します。
+ VPC、フローログ、ロググループの説明を含む基本的なテレメトリオペレーション。また、EKS クラスターログ記録、WAF 配置ログ記録設定、NLB ログの有効化、Route53 Resolver クエリログ記録、Amazon EC2 詳細モニタリング、Security Hub、Bedrock AgentCore Gateway、Bedrock AgentCore Memory、CloudFront Distribution、MSK Cluster、OpenTelemetry Enrichment、および Bedrock Agentcore Workload Identity のログ記録設定を有効にするアクセス許可も含まれています。
+ マネージドリソースを追跡するための `CloudWatchTelemetryRuleManaged` タグを使用したリソースタグ付けオペレーション
+ AWS Bedrock や VPC フローログなどのサービスのログ配信設定
+ テレメトリ有効化追跡の設定レコーダー管理
このポリシーは、以下の条件を通じてセキュリティ境界を適用します。
+ `aws:ResourceAccount` を使用して、オペレーションを同じアカウント内のリソースに制限する
+ リソースの変更に `CloudWatchTelemetryRuleManaged` タグを要求する
+ 設定レコーダーへのアクセスをテレメトリの有効化に関連付けられているものに制限する
AWSObservabilityAdminTelemetryEnablementServiceRolePolicy ポリシーの詳細な内容については、「[AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSObservabilityAdminTelemetryEnablementServiceRolePolicy.html)」を参照してください。
## CloudWatch Application Signals のサービスリンクロールのアクセス許可
CloudWatch Application Signals では、**AWSServiceRoleForCloudWatchApplicationSignals** という名前のサービスリンクロールを使用します。CloudWatch は、このサービスリンクロールを使用して、CloudWatch Application Signals を利用できるアプリケーションから CloudWatch ログデータ、X-Ray トレースデータ、CloudWatch メトリクスデータ、タグデータを収集します。
**AWSServiceRoleForCloudWatchApplicationSignals** サービスリンクロールは、ロールを継承するために CloudWatch Application Signals サービスを信頼します。Application Signals は、ユーザーのアカウントからログ、トレース、メトリクス、タグのデータを収集します。
**AWSServiceRoleForCloudWatchApplicationSignals** には IAM ポリシーがアタッチされており、このポリシーは **CloudWatchApplicationSignalsServiceRolePolicy** という名前です。このポリシーは、CloudWatch Application Signals が他の関連 AWS サービスからモニタリングデータとタグデータを収集できるように必要なアクセス許可を付与します。これには、Application Signals が次のアクションを完了するために必要なアクセス許可が含まれています。
+ `xray` – X-Ray トレースを取得します。
+ `logs` – 現在の CloudWatch ログ情報を取得します。
+ `cloudwatch` – 現在の CloudWatch メトリクス情報を取得します。
+ `tags` – 現在のタグを取得します。
+ `application-signals` – SLO とそれに関連する時間除外枠に関する情報を取得します。
+ `autoscaling` – Amazon EC2 Autoscaling グループからアプリケーションタグを取得します。
+ `resource-explorer-2` – AWS Resource Explorer から現在の AWS リソース情報を取得します。
+ `cloudtrail` – CloudTrail イベントを取得するためのサービスにリンクされたチャネルの作成を有効にします。
**CloudWatchApplicationSignalsServiceRolePolicy** ポリシーの完全な内容は次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "XRayPermission",
"Effect": "Allow",
"Action": [
"xray:GetServiceGraph"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWLogsPermission",
"Effect": "Allow",
"Action": [
"logs:StartQuery",
"logs:GetQueryResults"
],
"Resource": [
"arn:aws:logs:*:*:log-group:/aws/appsignals/*:*",
"arn:aws:logs:*:*:log-group:/aws/application-signals/data:*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWListMetricsPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:ListMetrics"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "CWGetMetricDataPermission",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": [
"*"
]
},
{
"Sid": "TagsPermission",
"Effect": "Allow",
"Action": [
"tag:GetResources"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "ApplicationSignalsPermission",
"Effect": "Allow",
"Action": [
"application-signals:ListServiceLevelObjectiveExclusionWindows",
"application-signals:GetServiceLevelObjective"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "EC2AutoScalingPermission",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingGroups"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
## CloudWatch アラーム Systems Manager OpsCenter アクションに対するサービスにリンクされたロールの許可
CloudWatch は、**AWSServiceRoleForCloudWatchAlarms\_ActionSSM** という名前のサービスにリンクされたロールを使用します – CloudWatch は、CloudWatch アラームが ALARM 状態になったときに Systems Manager OpsCenter アクションを実行するために、このサービスにリンクされたロールを使用します。
AWSServiceRoleForCloudWatchAlarms\_ActionSSM サービスにリンクされたロールは、CloudWatch サービスを信頼してロールを継承します。CloudWatch アラームは、アラームによって呼び出されると、Systems Manager OpsCenter アクションを呼び出します。
**AWSServiceRoleForCloudWatchAlarms\_ActionSSM** サービスにリンクされたロールのアクセス許可ポリシーでは、Systems Manager は、次のアクションを実行できます。
+ `ssm:CreateOpsItem`
## CloudWatch アラーム Systems Manager Incident Manager アクションのサービスにリンクされたロールの許可
CloudWatch は、**AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents** という名前のサービスにリンクされたロールを使用します – CloudWatch アラームが ALARM 状態になると、CloudWatch はこのサービスにリンクされたロールを使用して Incident Manager インシデントを開始します。
**AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents** サービスにリンクされたロールは、CloudWatch サービスを信頼してロールを継承します。CloudWatch アラームは、アラームによって呼び出されると、Systems Manager Incident Manager アクションを呼び出します。
**AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents** サービスにリンクされたロールのアクセス許可ポリシーでは、Systems Manager は、次のアクションを実行できます。
+ `ssm-incidents:StartIncident`
## CloudWatch クロスアカウントクロスリージョンに対するサービスにリンクされたロールの許可
CloudWatch では、**AWSServiceRoleForCloudWatchCrossAccount** と呼ばれるサービスにリンクされたロールを使用します – CloudWatch は、このロールを使用し、指定した他の AWS アカウントの CloudWatch データにアクセスします。SLR は、CloudWatch サービスが共有アカウントのロールを継承できるようにするため、継承ロールアクセス権限のみを提供します。これは、データへのアクセスを提供する共有ロールです。
**AWSServiceRoleForCloudWatchCrossAccount** サービスにリンクされたロールのアクセス権限ポリシーでは、CloudWatch は、次のアクションを完了することができます。
+ `sts:AssumeRole`
**AWSServiceRoleForCloudWatchCrossAccount** サービスにリンクされたロールは、ロールを継承するために CloudWatch サービスを信頼します。
## CloudWatch データベース Performance Insights に対するサービスリンクロールのアクセス許可
CloudWatch は、**[AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights]** という名前のサービスにリンクされたロールを使用します。CloudWatch はこのロールを使用して、アラームとスナップショットを作成するための Performance Insights メトリクスを取得します。
サービスにリンクされたロール **AAWSServiceRoleForCloudWatchMetrics\_DbPerfInsights** には、`AWSServiceRoleForCloudWatchMetrics_DbPerfInsightsServiceRolePolicy` IAM ポリシーがアタッチされています。このポリシーの内容は次のとおりです。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"pi:GetResourceMetrics"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceAccount": "${aws:PrincipalAccount}"
}
}
}
]
}
```
------
サービスにリンクされたロール **AWSServiceRoleForCloudWatchCrossAccount** は、CloudWatch サービスを信頼してロールを引き受けます。
## CloudWatch Logs 一元管理のサービスにリンクされたロールのアクセス許可
**AWSObservabilityAdminLogsCentralizationServiceRolePolicy** は、CloudWatch サービスロールなど、中央管理アカウントの適切な IAM エンティティにアタッチされ、一元的なログ収集の設定と管理に必要なアクセス許可を付与します。CloudWatch は、このロールを使用して、組織のモニタリングアカウントに CloudWatch ロググループ、ログストリーム、およびログイベントを作成するために指定した他の AWS アカウントのテレメトリデータにアクセスします。SLR は、CloudWatch サービスがモニタリングアカウントのロールを継承できるようにするため、継承ロールアクセス許可のみを提供します。AWS マネジメントコンソール を使用して一元的なログ収集を設定すると、このポリシーは自動的にアタッチされます。AWS CLI または API を使用してログの一元化を設定する場合は、このポリシーをオブザーバビリティ管理タスクに使用される IAM ロールに手動でアタッチする必要があります。
**[AWSObservabilityAdminLogsCentralizationServiceRolePolicy]** サービスにリンクされたロールのアクセス許可ポリシーでは、CloudWatch は、以下のアクションを完了することができます。
+ `sts:AssumeRole`
+ `logs:CreateLogGroup`
+ `logs:CreateLogStream`
+ `logs:PutLogEvents`
+ `kms:Encrypt`
+ `kms:Decrypt`
+ `kms:GenerateDataKey`
**[AWSObservabilityAdminLogsCentralizationServiceRolePolicy]** サービスにリンクされたロールは、ロールを継承するために `logs-centralization.observabilityadmin.amazonaws.com` サービスを信頼します。
## CloudWatch のサービスにリンクされたロールの作成
これらのサービスにリンクされたどのロールも手動で作成する必要はありません。AWS マネジメントコンソール、IAM CLI、または IAM API でアラームを初めて作成すると、CloudWatch によって AWSServiceRoleForCloudWatchEvents と **AWSServiceRoleForCloudWatchAlarms\_ActionSSM** が自動的に作成されます。
初めてサービスとトポロジを検出できるようにした場合、Application Signals によって **AWSServiceRoleForCloudWatchApplicationSignals** が自動的に作成されます。
アカウントをクロスアカウントクロスリージョン機能のモニターリングアカウントとして初めて有効にすると、CloudWatch によって **AWSServiceRoleForCloudWatchCrossAccount** が自動的に作成されます。
`DB_PERF_INSIGHTS` Metric Math 関数を使用するアラームを初めて作成すると、CloudWatch は **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights** を自動的に作成します。
詳細については、「IAM ユーザーガイド**」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。
## CloudWatch のサービスにリンクされたロールの編集
CloudWatch では、**AWSServiceRoleForCloudWatchEvents**、**AWSServiceRoleForCloudWatchAlarms\_ActionSSM**、**AWSServiceRoleForCloudWatchCrossAccount**、または **AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights** ロールを編集できません。これらのロールは多くのエンティティにより参照されるため、ロールを作成した後その名前を変更することはできません。ただし、IAM を使用したロールの説明の編集はできます。
### サービスにリンクされたロールの説明の編集 (IAM コンソール)
サービスにリンクされたロールの説明は、IAM コンソールを使用して編集できます。
**サービスにリンクされたロールの説明を編集するには (コンソール)**
1. IAM コンソールのナビゲーションペインで [**ロール**] を選択します。
1. 変更するロールの名前を選択します。
1. [**Role description**] の右端にある [**Edit**] を選択します。
1. ボックスに新しい説明を入力し、[**Save**] を選択します。
### サービスにリンクされたロールの説明の編集 (AWS CLI)
AWS Command Line Interface から IAM コマンドを使用して、サービスにリンクされたロールの説明を編集できます。
**サービスにリンクされたロールの説明を変更するには (AWS CLI)**
1. (オプション) ロールの現在の説明を表示するには、次のコマンドを使用します。
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name {{role-name}}
```
AWS CLI コマンドでは、ARN ではなくロール名を使用してロールを参照します。例えば、ロールの ARN が `arn:aws:iam::123456789012:role/myrole` である場合、そのロールを **myrole** と参照します。
1. サービスにリンクされたロールの説明を更新するには、次のコマンドを使用します。
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) --role-name {{role-name}} --description {{description}}
```
### サービスにリンクされたロールの説明の編集 (IAM API)
サービスにリンクされたロールの説明は、IAM API を使用して編集できます。
**サービスにリンクされたロールの説明を変更するには (API)**
1. (オプション) ロールの現在の説明を表示するには、次のコマンドを使用します。
[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
1. ロールの説明を更新するには、次のコマンドを使用します。
[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
## CloudWatch のサービスにリンクされたロールの削除
EC2 インスタンスを自動的に停止、終了、または再起動するアラームがなくなった場合、AWSServiceRoleForCloudWatchEvents ロールを削除することをお勧めします。
Systems Manager OpsCenter アクションを実行するアラームがなくなった場合は、AWSServiceRoleForCloudWatchAlarms\_ActionSSM ロールを削除することをお勧めします。
`DB_PERF_INSIGHTS` Metric Math 関数を使用するアラームをすべて削除する場合は、サービスにリンクされたロール **AWSServiceRoleForCloudWatchMetrics\_DBPerfInsights** を削除することをお勧めします。
そうすることで、使用していないエンティティがアクティブにモニターリングされたり、メンテナンスされたりすることがなくなります。ただし、削除する前に、サービスにリンクされた役割をクリーンアップする必要があります。
### サービスにリンクされたロールのクリーンアップ
IAM を使用してサービスにリンクされたロールを削除するには、まずそのロールにアクティブなセッションがないことを確認し、そのロールで使用されているリソースをすべて削除する必要があります。
**サービスにリンクされたロールにアクティブなセッションがあるかどうかを、IAM コンソールで確認するには**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。AWSServiceRoleForCloudWatchEvents ロールの名前 (チェックボックスではない) を選択します。
1. 選択したロールの [**概要**] ページで [**アクセスアドバイザー**] を選択し、サービスにリンクされたロールの最新のアクティビティを確認します。
**注記**
CloudWatch が AWSServiceRoleForCloudWatchEvents ロールを使用しているかどうか不明な場合は、ロールを削除してみてください。サービスでロールが使用されている場合、削除は失敗し、ロールが使用されている リージョンが表示されます。ロールが使用されている場合は、ロールを削除する前にセッションが終了するのを待つ必要があります。サービスにリンクされたロールのセッションを取り消すことはできません。
### サービスにリンクされたロールの削除 (IAM コンソール)
IAM コンソールを使用して、サービスにリンクされたロールを削除できます。
**サービスにリンクされたロールを削除するには (コンソール)**
1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。
1. ナビゲーションペインで **Roles (ロール) ** を選択してください。ロール名または行そのものではなく、削除するロールの名前の横にあるチェックボックスをオンにします。
1. [**ロールのアクション**] で、[**ロールの削除**] を選択します。
1. 確認ダイアログボックスで、サービスの最終アクセス時間データを確認します。これは、選択したそれぞれのロールの AWS サービスへの最終アクセス時間を示します。これは、そのロールが現在アクティブであるかどうかを確認するのに役立ちます。続行するには、[**はい、削除します**] を選択します。
1. IAM コンソール通知を見て、サービスにリンクされたロールの削除の進行状況を監視します。IAM サービスにリンクされたロールの削除は非同期であるため、削除するロールを送信すると、削除タスクは成功または失敗する可能性があります。タスクが失敗した場合は、通知から [**詳細を表示**] または [**リソースを表示**] を選択して、削除が失敗した理由を知ることができます。そのロールで使用中のリソースがサービスにあるために削除に失敗した場合、この失敗の理由にはリソースのリストも含まれます。
### サービスにリンクされたロールの削除 (AWS CLI)
AWS Command Line Interface から IAM コマンドを使用して、サービスにリンクされたロールを削除できます。
**サービスにリンクされたロールを削除するには (AWS CLI)**
1. サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから `deletion-task-id` を取得して、削除タスクのステータスを確認する必要があります。サービスにリンクされたロールの削除リクエストを送信するには、次のコマンドを入力します。
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name {{service-linked-role-name}}
```
1. 削除タスクのステータスを確認するには、次のコマンドを入力します。
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id {{deletion-task-id}}
```
削除タスクのステータスは、`NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED`、または `FAILED` となります。 削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。
### サービスにリンクされたロールの削除 (IAM API)
IAM API を使用して、サービスにリンクされたロールを削除できます。
**サービスにリンクされたロールを削除するには (API)**
1. サービスにリンクされたロールの削除リクエストを送信するには、[DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html) を呼び出します。リクエストで、削除するロール名を指定します。
サービスにリンクされているロールは、使用されている、または関連するリソースがある場合は削除できないため、削除リクエストを送信する必要があります。これらの条件が満たされない場合、そのリクエストは拒否される可能性があります。レスポンスから `DeletionTaskId` を取得して、削除タスクのステータスを確認する必要があります。
1. 削除タスクのステータスを確認するには、[GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html) を呼び出します。リクエストで `DeletionTaskId` を指定します。
削除タスクのステータスは、`NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED`、または `FAILED` となります。 削除が失敗した場合は、失敗した理由がコールによって返され、トラブルシューティングが可能になります。
## AWS のサービスにリンクされたロールへの CloudWatch の更新
CloudWatch の AWS マネージドポリシーの更新に関する詳細を、このサービスがこれらの変更の追跡を開始した以降の分について表示します。このページの変更に関する自動通知を入手するには、CloudWatch ドキュメントの履歴ページから、RSS フィードにサブスクライブしてください。
| 変更 | 説明 | 日付 |
| --- | --- | --- |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – サービスにリンクされたロールポリシーの更新。 | [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) に関する情報を更新しました。このポリシーは、テレメトリルールに基づいて追加の AWS リソースのテレメトリ設定を有効化および管理するために必要なアクセス許可を CloudWatch に付与します。 | 2026 年 4 月 30 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – サービスにリンクされたロールポリシーの更新。 | [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) に関する情報を更新しました。このポリシーは、テレメトリルールに基づいて追加の AWS リソースのテレメトリ設定を有効化および管理するために必要なアクセス許可を CloudWatch に付与します。 | March 31, 2026 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – サービスにリンクされたロールポリシーの更新。 | [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) に関する情報を更新しました。このポリシーは、テレメトリルールに基づいて追加の AWS リソースのテレメトリ設定を有効化および管理するために必要なアクセス許可を CloudWatch に付与します。 | 2026 年 3 月 10 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – サービスにリンクされたロールポリシーの更新。 | [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) に関する情報を更新しました。このポリシーは、テレメトリルールに基づいて追加の AWS リソースのテレメトリ設定を有効化および管理するために必要なアクセス許可を CloudWatch に付与します。 | 2025 年 12 月 2 日 |
| [ AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – サービスにリンクされたロールポリシーのアクセス許可の更新 | [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals) を更新して `resource-explorer-2:Search` と `cloudtrail:CreateServiceLinkedChannel` を追加し、新しい Application Signals 機能を有効化できるようにしました。 | 2025 年 11 月 12 日 |
| [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization) – 新しいサービスにリンクされたロールポリシー。 | [AWSObservabilityAdminLogsCentralizationServiceRolePolicy](#service-linked-role-logscentralization) に関する情報を追加しました。このポリシーは、テレメトリルールに基づいて AWS リソースのテレメトリ設定を有効化および管理するために必要なアクセス許可を CloudWatch に付与します。 | 2025 年 9 月 5 日 |
| [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) – 新しいサービスにリンクされたロールポリシー。 | [AWSObservabilityAdminTelemetryEnablementServiceRolePolicy](#service-linked-role-telemetry-enablement) に関する情報を追加しました。このポリシーは、テレメトリルールに基づいて AWS リソースのテレメトリ設定を有効化および管理するために必要なアクセス許可を CloudWatch に付与します。 | 2025 年 7 月 17 日 |
| [ AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – サービスにリンクされたロールポリシーのアクセス許可の更新 | [CloudWatchApplicationSignalsServiceRolePolicy](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/using-service-linked-roles.html#service-linked-role-signals) を更新し、SLO 達成率、エラーバジェット、バーンレートメトリクスに影響を与える時間枠を除外しました。CloudWatch はユーザーに代わって除外枠取得できます。 | 2025 年 3 月 13 日 |
| [AWSServiceRoleForObservabilityAdmin](#service-linked-role-telemetry-config) – 新しいサービスにリンクされたロール | AWS Organizations のリソースおよびテレメトリ設定の検出をサポートするため、CloudWatch はサービスにリンクされたこの新しいロールおよび対応するマネージドポリシーの AWSObservabilityAdminServiceRolePolicy を追加しました。 | 2024 年 11 月 26 日 |
| [ AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) – サービスにリンクされたロールポリシーのアクセス許可の更新 | CloudWatch は、このロールによって付与される `logs:StartQuery` および `logs:GetQueryResults` のアクセス許可のスコープにさらにロググループを追加します。 | 2024 年 4 月 24 日 |
| [AWSServiceRoleForCloudWatchApplicationSignals](#service-linked-role-signals) - 新しいサービスリンクロール | CloudWatch Application Signals を利用できるアプリケーションから CloudWatch ログデータ、X-Ray トレースデータ、CloudWatch メトリクスデータ、タグデータを収集できるように、この新しいサービスリンクロールを追加しました。 | 2023 年 11 月 9 日 |
| [ AWSServiceRoleForCloudWatchMetrics\_DbPerfInsights](#service-linked-role-permissions-dbperfinsights) – サービスにリンクされた新しいロール | このサービスリンクロールが追加されたことで、CloudWatch がアラームやスナップショット用の Performance Insights メトリクスを取得できるようにしました。このロールには IAM ポリシーがアタッチされています。このポリシーにより、ユーザーに代わって Performance Insights メトリクスを取得するアクセス許可が CloudWatch に付与されます。 | 2023 年 9 月 13 日 |
| [ AWSServiceRoleForCloudWatchAlarms\_ActionSSMIncidents](#service-linked-role-permissions-incident-manager) – サービスにリンクされた新しいロール | CloudWatch は、AWS Systems Manager Incident Manager でインシデントを作成できるように、サービスにリンクされた新しいロールを追加しました。 | 2021 年 4 月 26 日 |
| CloudWatch が変更の追跡を開始しました | CloudWatch は、サービスにリンクされたロールの変更の追跡を開始しました。 | 2021 年 4 月 26 日 |