# AWS Identity and Access Management Access Analyzer のサービスにリンクされたロールの使用
<a name="access-analyzer-using-service-linked-roles"></a>

AWS Identity and Access Management Access Analyzer は IAM [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、IAM Access Analyzer に直接リンクされた特殊なタイプの IAM ロールです。サービスリンクロールは、IAM Access Analyzer によって事前定義されており、ユーザーの代わりに機能が他の AWS サービスを呼び出す必要のあるアクセス許可がすべて含まれています。

サービスリンクロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、IAM Access Analyzer の設定が簡単になります。IAM Access Analyzer は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、IAM Access Analyzer のみがそのロールを引き受けることができます。定義されたアクセス許可には、信頼ポリシーとアクセス権限ポリシーが含まれ、そのアクセス権限ポリシーを他の IAM エンティティに適用することはできません。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスリンクロール**列が**はい**のサービスを探してください。そのサービスに関するサービスにリンクされたロールのドキュメントを表示するには、リンクが設定されている **Yes]** (はい) を選択します。

## AWS Identity and Access Management Access Analyzer のサービスリンクロールのアクセス許可
<a name="slr-permissions"></a>

AWS Identity and Access Management Access Analyzer は、**AWSServiceRoleForAccessAnalyzer** という名前のサービスリンクロールを使用します。これにより、Access Analyzer が外部アクセスのリソースメタデータを分析したり、アクティビティを分析して未使用のアクセスを特定したりできます。　

サービスにリンクされたロール AWSServiceRoleForAccessAnalyzer は、以下のサービスを信頼してロールを引き受けます。
+ `access-analyzer.amazonaws.com`

[`AccessAnalyzerServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-aa-service-role-policy) という名前のロールアクセス許可ポリシーを使用すると、IAM Access Analyzer は特定のリソースに対するアクションを完了できます。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## IAM Access Analyzer のサービスリンクロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソールまたは AWS API で Access Analyzer を有効にすると、IAM Access Analyzer によって、サービスリンクロールが作成されます。IAM Access Analyzer を有効にしたすべてのリージョンで、同じサービスにリンクされたロールが使用されます。外部アクセスと未使用のアクセスの両方の検出結果で、同じサービスリンクロールが使用されます。

**注記**  
IAM Access Analyzer はリージョンに基づきます。IAM Access Analyzer は、各リージョンで個別に有効にする必要があります。

このサービスにリンクされたロールを削除すると、次回のアナライザーの作成時に、このロールが IAM Access Analyzer によって再作成されます。

**Access Analyzer** ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用します。AWS CLI または AWS API では、`access-analyzer.amazonaws.com` サービス名を使用してサービスリンクロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## IAM Access Analyzer のサービスリンクロールの編集
<a name="edit-slr"></a>

IAM Access Analyzer では、AWSServiceRoleForAccessAnalyzer サービスリンクロールを編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## IAM Access Analyzer のサービスリンクロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

AWS Organizations で IAM Access Analyzer が 1 つ以上のリージョン有効になっている場合は、このロールを削除する前に、組織のすべてのリージョンにあるすべてのアナライザーを削除する必要があります。

**注記**  
リソースを削除する際に、IAM Access Analyzer でロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForAccessAnalyzer ロールによって使用されている IAM Access Analyzer リソースを削除する方法**

1. IAM コンソール ([https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)) を開きます。

1. [**Access reports (アクセスレポート)**] セクションの [**Access analyzer (アクセスアナライザー)**] で、[**Analyzer (アナライザー)**] を選択します。

1. サービスにリンクされたロールにアタッチされた IAM Access Analyzer リソースを削除するアナライザーを選択します。

1. **[削除]** を選択します。

1. アナライザーを削除することを確定するには、「**delete**」と入力し、[**Delete (削除)**] を選択します。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、AWS CLI、または AWS API を使用して、サービスにリンクされたロール AWSServiceRoleForAccessAnalyzer を削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。

## IAM Access Analyzer サービスリンクロールをサポートするリージョン
<a name="slr-regions"></a>

IAM Access Analyzer では、このサービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。