翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# ACM でのサービスにリンクされたロール (SLR) の使用
<a name="acm-slr"></a>

AWS Certificate Manager は、 AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用して、プライベート CA から発行されたプライベート証明書の自動更新を、 が共有している別のアカウントの有効にします AWS Resource Access Manager。サービスにリンクされたロール (SLR) は、ACM のサービスに直接リンクされた一意のタイプの IAM ロールです。SLR は、ACM によって事前定義されており、ユーザーの代わりにサービスから他の AWS のサービスを呼び出す必要のあるアクセス許可がすべて含まれています。

SLR を使用すると、無人証明書の署名に必要なアクセス許可を手動で追加する必要がなくなるため、ACM の設定が簡単になります。ACM は、この SLR のアクセス許可を定義します。特に定義されている場合を除き、ACM のみがそのロールを引き受けることができます。定義されるアクセス許可は、信頼ポリシーとアクセス許可ポリシーに含まれており、そのアクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

SLR をサポートする他のサービスの情報ついては、[[AWS Services That Work with IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)] (IAM と連携するサービス) を参照して、[**Service-Linked Role**] (サービスリンクロール) 列が[**Yes**] (はい) となっているサービスを探してください。SLR に関するドキュメントをサービスで表示するには、[**はい**] リンクを選択します。

## ACM の SLR アクセス許可
<a name="slr-permissions"></a>

ACM は、Amazon Certificate Manager サービスロールポリシーという名前の SLR を使用します。

AWSServiceRoleForCertificateManager SLR では、以下のサービスを信頼してロールを引き受けます。
+ `acm.amazonaws.com`

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを ACM に許可します。
+ アクション:"\$1" での`acm-pca:IssueCertificate`、`acm-pca:GetCertificate`

SLR の作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、IAM ユーザーガイドの「[サービスリンクロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

**重要**  
ACM では、アカウントに SLR が存在するかどうかを判断できないという警告が表示されることがあります。必要な `iam:GetRole` アクセス許可がすでにアカウントの ACM SLR に付与されている場合、SLR の作成後にアラートは再発しません。再発する場合は、管理者またはアカウント管理者が `iam:GetRole` アクセス許可を ACM に付与するか、アカウントを ACM 管理ポリシー `AWSCertificateManagerFullAccess` に関連付けます。

## ACM の SLR の作成
<a name="create-slr"></a>

ACM で使用する SLR を手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API を使用して ACM 証明書を発行すると、ACM は、 が共有する別のアカウントのプライベート CA が証明書に署名 AWS RAM するのを初めて行うときに SLR を作成します。

アカウントに SLR が存在するかどうかを ACM が判断できないというメッセージが表示された場合は、 が AWS Private CA 必要とする読み取りアクセス許可がアカウントに付与されていない可能性があります。これにより、SLR のインストールが妨げられることはなく、証明書を発行することはできますが、問題を解決するまで ACM は証明書を自動的に更新できません。(詳細については、[ACM のサービスにリンクされたロール (SLR) に関する問題](slr-problems.md) を参照してください)。

**重要**  
この SLR がアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。また、2017 年 1 月 1 日より前に ACM サービスを使用していた場合、SLR のサポートが開始された時点で、ACM が AWSServiceRoleForCertificateManager ロールをアカウントに作成済みです。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

この SLR を削除した後で再度作成する必要がある場合は、次のいずれかの方法を使用できます。
+ IAM コンソールで、[**Role**] (ロール)、[**Create role**] (ロールの作成)、[**Certificate Manager**] (証明書管理) を選択して、[**CertificateManagerServiceRolePolicy**] (証明書管理のサービスロールポリシー) ユースケースで新しいロールを作成します。
+ IAM API [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) または対応する AWS CLI コマンド [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) を使用して、`acm.amazonaws.com`サービス名で SLR を作成します。

 詳細については、IAM ユーザーガイドの「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

## ACM の SLR の編集
<a name="edit-slr"></a>

ACM では、AWSServiceRoleForCertificateManager のサービスにリンクされたロールを編集することはできません。ロールは多くのエンティティにより参照されるため、SLR を作成した後、ロールの名前を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、IAM ユーザーガイドの「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## ACM の SLR の削除
<a name="delete-slr"></a>

通常、AWSServiceRoleForCertificateManager SLR を手動で削除する必要はありません。ただし、IAM コンソール、、 AWS CLI または AWS API を使用して手動でロールを削除することはできます。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## ACM SLR でサポートされるリージョン
<a name="slr-regions"></a>

ACM AWS Private CA は、ACM と の両方が利用可能なすべてのリージョンで SLRs の使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。


****  

| リージョン名 | リージョン識別子 | ACM のサポート | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) | us-east-1 | はい | 
| 米国東部 (オハイオ) | us-east-2 | はい | 
| 米国西部 (北カリフォルニア) | us-west-1 | はい | 
| 米国西部 (オレゴン)  | us-west-2 | はい | 
| アジアパシフィック (ムンバイ) | ap-south-1 | はい | 
| アジアパシフィック (大阪) | ap-northeast-3 | はい | 
| アジアパシフィック (ソウル) | ap-northeast-2 | はい | 
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい | 
| アジアパシフィック (シドニー) | ap-southeast-2 | はい | 
| アジアパシフィック (東京) | ap-northeast-1 | はい | 
| カナダ (中部) | ca-central-1 | はい | 
| 欧州 (フランクフルト) | eu-central-1 | はい | 
| 欧州 (チューリッヒ) | eu-central-2 | はい | 
| 欧州 (アイルランド) | eu-west-1 | はい | 
| 欧州 (ロンドン) | eu-west-2 | はい | 
| 欧州 (パリ) | eu-west-3 | はい | 
| 南米 (サンパウロ) | sa-east-1 | はい | 
| AWS GovCloud (米国西部） | us-gov-west-1 | はい | 
| AWS GovCloud (米国東部) 東部 | us-gov-east-1 | はい |