翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# サービスにリンクされたロールの使用
<a name="using-service-linked-roles-intro"></a>

AWS サポート および は AWS Identity and Access Management 、(IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) AWS Trusted Advisor を使用します。サービスにリンクされたロールは、 サポート と に直接リンクされた一意の IAM ロールです Trusted Advisor。​いずれの場合も、サービスに関連付けられたロールは事前定義されたロールです。このロールには、ユーザーに代わって他の AWS サービスを呼び出すために サポート または が Trusted Advisor 必要とするすべてのアクセス許可が含まれます。以下のトピックでは、サービスにリンクされたロールの動作と、 サポート および でのロールの操作方法について説明します Trusted Advisor。

**Topics**
+ [のサービスにリンクされたロールの使用 AWS サポート](using-service-linked-roles-sup.md)
+ [のサービスにリンクされたロールの使用 Trusted Advisor](using-service-linked-roles-ta.md)

# のサービスにリンクされたロールの使用 AWS サポート
<a name="using-service-linked-roles-sup"></a>

AWS サポート ツールは、API コールを通じて AWS リソースに関する情報を収集し、カスタマーサービスとテクニカルサポートを提供します。サポートアクティビティの透明性と監査可能性を高めるために、 は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) サポート を使用します。

`AWSServiceRoleForSupport` サービスにリンクされたロールは、直接リンクされた一意の IAM ロールです サポート。このサービスにリンクされたロールは事前定義されており、ユーザーに代わって が他の AWS サービスを呼び出す サポート ために必要なアクセス許可が含まれています。

`AWSServiceRoleForSupport` サービスにリンクされたロールは、ロールを継承するために `support.amazonaws.com` のサービスを信頼します。

これらのサービスを提供するために、ロールの事前定義されたアクセス許可は、顧客データではなくリソースメタデータ サポート へのアクセスを許可します。 AWS アカウント内に存在するこのロールを引き受けることができる サポート のはツールのみです。

お客様データを含む可能性のあるフィールドを修正します。たとえば、 AWS Step Functions API コールの [GetExecutionHistory](https://docs.aws.amazon.com/step-functions/latest/apireference/API_GetExecutionHistory.html) の `Input`および `Output`フィールドは表示されません サポート。 AWS KMS keys を使用して機密フィールドを暗号化します。これらのフィールドは API レスポンスで編集され、 AWS サポート エージェントには表示されません。

**注記**  
AWS Trusted Advisor は、別の IAM サービスにリンクされたロールを使用してアカウントの AWS リソースにアクセスし、ベストプラクティスの推奨事項とチェックを提供します。詳細については、「[のサービスにリンクされたロールの使用 Trusted Advisor](using-service-linked-roles-ta.md)」を参照してください。

 `AWSServiceRoleForSupport` サービスにリンクされたロールを使用すると、すべての AWS サポート API コールを を通じて顧客に表示することができます AWS CloudTrail。これは、 がユーザーに代わって サポート 実行するアクションを理解する透過的な方法を提供するため、要件のモニタリングと監査に役立ちます。CloudTrail の詳細については、[AWS CloudTrail ユーザーガイド](https://docs.aws.amazon.com/awscloudtrail/latest/userguide/)を参照してください。

## のサービスにリンクされたロールのアクセス許可 サポート
<a name="service-linked-role-permissions"></a>

このロールは `AWSSupportServiceRolePolicy` AWS マネージドポリシーを使用します。このマネージドポリシーがロールにアタッチされ、ユーザーに代わってがアクションを完了するためのアクセス許可がロールに付与されます。

これらのアクションには以下が含まれます。
+  **請求、管理、サポート、その他のカスタマーサービス** – AWS カスタマーサービスは、 マネージドポリシーによって付与されたアクセス許可を使用して、サポートプランの一部として多数のサービスを実行します。アカウントと請求に関するご質問に対する調査および回答、アカウントの管理サポートの提供、サービスクォータの緩和、その他のカスタマーサポートの提供などがあります。
+  ** AWS アカウントのサービス属性と使用状況データの処理** – マネージドポリシーによって付与されたアクセス許可を使用して、アカウントの AWS サービス属性と使用状況データにアクセスする サポート 場合があります。このポリシーにより、 サポート はアカウントの請求、管理、テクニカルサポートを提供できます。サービス属性には、お客様のアカウントのリソース識別子、メタデータタグ、ロール、アクセス権限が含まれます。使用状況データには、試用ポリシー、使用統計、および分析が含まれます。
+  **アカウントとそのリソースの運用状態を維持する** – サポート 自動ツールを使用して、運用およびテクニカルサポートに関連するアクションを実行します。

許可されたサービスとアクションの詳細については、IAM コンソールの[https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSSupportServiceRolePolicy$jsonEditor) ポリシーを参照してください。

**注記**  
AWS サポート は、`AWSSupportServiceRolePolicy`ポリシーを 1 か月に 1 回自動的に更新して、新しい AWS サービスとアクションのアクセス許可を追加します。

詳細については、「[AWS の マネージドポリシー AWS サポート](security-iam-awsmanpol.md)」を参照してください。

## のサービスにリンクされたロールの作成 サポート
<a name="create-service-linked-role"></a>

`AWSServiceRoleForSupport` ロールを手動で作成する必要はありません。 AWS アカウントを作成すると、このロールが自動的に作成および設定されます。

**重要**  
サービスにリンクされたロールのサポート サポート を開始する前に を使用した場合 AWS 、 はその`AWSServiceRoleForSupport`ロールをアカウントに作成します。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

## のサービスにリンクされたロールの編集と削除 サポート
<a name="edit-service-linked-role"></a>

`AWSServiceRoleForSupport` サービスにリンクされたロールの説明は、IAM を使用して編集できます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

`AWSServiceRoleForSupport` ロールは、 サポート がアカウントの管理、運用、技術サポートを提供するために必要です。そのため、IAM コンソール、API、または AWS Command Line Interface () を使用してこのロールを削除することはできませんAWS CLI。これにより、サポートの各サービスを管理するのに必要なアクセス権限を誤って削除することがなくなり、 AWS アカウントが保護されます。

Enterprise サポート プランに登録されているお客様は AWS Organizations 、`AWSServiceRoleForSupport`サービスにリンクされたロールを削除できます。このロールを削除すると、 AWS サポート エンジニアによるリソースへのアクセスが制限され、ユーザーに代わってアクションを実行する能力が制限されます。詳細について、または `AWSServiceRoleForSupport` サービスにリンクされたロールの削除のリクエストについては、テクニカルアカウントマネージャー (TAM) にお問い合わせください。

`AWSServiceRoleForSupport` ロールまたはそのユーザーの詳細については、[サポート](https://aws.amazon.com/support) にお問い合わせください。

# のサービスにリンクされたロールの使用 Trusted Advisor
<a name="using-service-linked-roles-ta"></a>

AWS Trusted Advisor は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)を使用します。サービスにリンクされたロールは、直接リンクされた一意の IAM ロールです AWS Trusted Advisor。サービスにリンクされたロールは によって事前定義されており Trusted Advisor、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。 はこのロール Trusted Advisor を使用して 全体の使用状況を確認し AWS 、環境 AWS を改善するための推奨事項を提供します。例えば、 は Amazon Elastic Compute Cloud (Amazon EC2) インスタンスの使用 Trusted Advisor を分析して、コストの削減、パフォーマンスの向上、障害の許容、セキュリティの向上を支援します。

**注記**  
AWS サポート は、個別の IAM サービスにリンクされたロールを使用してアカウントのリソースにアクセスし、請求、管理、サポートサービスを提供します。詳細については、「[のサービスにリンクされたロールの使用 AWS サポート](using-service-linked-roles-sup.md)」を参照してください。

サービスにリンクされたロールをサポートするその他のサービスの詳細については、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。**サービスにリンクされたロール**列が「**はい**」になっているサービスを見つけます。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、[**はい**] リンクを選択します。

**Topics**
+ [のサービスにリンクされたロールのアクセス許可 Trusted Advisor](#service-linked-role-permissions-ta)
+ [サービスにリンクされたロールのアクセス許可の管理](#manage-permissions-for-slr)
+ [のサービスにリンクされたロールの作成 Trusted Advisor](#create-service-linked-role-ta)
+ [のサービスにリンクされたロールの編集 Trusted Advisor](#edit-service-linked-role-ta)
+ [のサービスにリンクされたロールの削除 Trusted Advisor](#delete-service-linked-role-ta)

## のサービスにリンクされたロールのアクセス許可 Trusted Advisor
<a name="service-linked-role-permissions-ta"></a>

Trusted Advisor は 2 つのサービスにリンクされたロールを使用します。
+ [AWSServiceRoleForTrustedAdvisor](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor) — このロールは Trusted Advisor サービスを信頼して、ロールがユーザーの代理として AWS のサービスにアクセスするロールを継承します。ロールのアクセス許可ポリシーは、すべての AWS リソースへの Trusted Advisor 読み取り専用アクセスを許可します。このロールは、必要なアクセス許可を追加する必要がないため、 AWS アカウントの使用開始を簡素化します Trusted Advisor。 AWS アカウントを開くと、 によってこのロールが自動的に Trusted Advisor 作成されます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。その他の IAM エンティティにアクセス許可ポリシーをアタッチすることはできません。

  アタッチされたポリシーの詳細については、「[AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)」を参照してください。
+ [https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.aws.amazon.com/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) — このロールは Trusted Advisor サービスを信頼して、組織ビュー機能のロールを継承します。このロールは、 AWS Organizations 組織の信頼されたサービス Trusted Advisor として を有効にします。組織ビューを有効にすると、 はこのロール Trusted Advisor を作成します。

  アタッチされたポリシーの詳細については、「[AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)」を参照してください。

  組織ビューを使用して、組織内のすべてのアカウントの Trusted Advisor チェック結果のレポートを作成できます。この機能の詳細については、「[の組織ビュー AWS Trusted Advisor](organizational-view.md)」を参照してください。

## サービスにリンクされたロールのアクセス許可の管理
<a name="manage-permissions-for-slr"></a>

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。次の例では、`AWSServiceRoleForTrustedAdvisor` サービスリンクロールを使用します。

**Example : IAM エンティティが `AWSServiceRoleForTrustedAdvisor` サービスリンクロールを作成することを許可します**  

このステップは、 Trusted Advisor アカウントが無効になっており、サービスにリンクされたロールが削除され、ユーザーが再度有効にするにはロールを再作成する必要がある場合にのみ必要です Trusted Advisor。

サービスにリンクされたロールを作成する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```

**Example : **IAM エンティティが `AWSServiceRoleForTrustedAdvisor` サービスリンクロールの説明を編集することを許可します****  

説明できるのは、`AWSServiceRoleForTrustedAdvisor` ロールの説明のみです。サービスにリンクされたロールの説明を編集する IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加できます。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```

**Example : IAM エンティティが `AWSServiceRoleForTrustedAdvisor` サービスリンクロールを削除することを許可します**  

サービスにリンクされたロールを削除する IAM エンティティのアクセス権限ポリシーに、次のステートメントを追加できます。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```

[AdministratorAccess](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess) などの AWS 管理ポリシーを使用して、 へのフルアクセスを提供することもできます Trusted Advisor。

## のサービスにリンクされたロールの作成 Trusted Advisor
<a name="create-service-linked-role-ta"></a>

`AWSServiceRoleForTrustedAdvisor` サービスリンクロールを手動で作成する必要はありません。 AWS アカウントを開くと、 によってサービスにリンクされたロールが自動的に Trusted Advisor 作成されます。

**重要**  
 Trusted Advisor サービスにリンクされたロールのサポートを開始する前に サービスを使用していた場合、 はアカウントに`AWSServiceRoleForTrustedAdvisor`そのロールを Trusted Advisor 既に作成しています。詳細については、*IAM ユーザーガイド*の「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

お客様のアカウントに `AWSServiceRoleForTrustedAdvisor` サービスリンクロールが設定されていない場合、 Trusted Advisor が想定どおりに動作しません。これは、アカウント内のユーザーが Trusted Advisor を無効にした後、サービスにリンクされたロールを削除した場合に発生することがあります。その場合は、IAM を使用して `AWSServiceRoleForTrustedAdvisor` サービスリンクロールを作成してから、 Trusted Advisorを有効にします。

**を有効にするには Trusted Advisor (コンソール)**

1.  IAM コンソール AWS CLI、または IAM API を使用して、 のサービスにリンクされたロールを作成します Trusted Advisor。詳細については、「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

1. にサインインし AWS マネジメントコンソール、 で Trusted Advisor コンソールに移動します[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。

   [**無効な Trusted Advisor**] ステータスバナーがコンソールに表示されます。

1. ステータスバナーから** Trusted Advisor ロールを有効にする**を選択します。必要な `AWSServiceRoleForTrustedAdvisor` が検出されない場合は、無効ステータスバナーが表示されたままになります。

## のサービスにリンクされたロールの編集 Trusted Advisor
<a name="edit-service-linked-role-ta"></a>

さまざまなエンティティから参照される可能性があるため、サービスにリンクされたロールの名前を変更することはできません。ただし、IAM コンソール AWS CLI、または IAM API を使用してロールの説明を編集できます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## のサービスにリンクされたロールの削除 Trusted Advisor
<a name="delete-service-linked-role-ta"></a>

の機能やサービスを使用する必要がない場合は Trusted Advisor、`AWSServiceRoleForTrustedAdvisor`ロールを削除できます。このサービスにリンクされたロールを削除する Trusted Advisor 前に、 を無効にする必要があります。これにより、 Trusted Advisor オペレーションに必要なアクセス権限の削除を防止します。無効にすると Trusted Advisor、オフライン処理や通知など、すべてのサービス機能が無効になります。また、メンバーアカウント Trusted Advisor に対して を無効にすると、個別の支払者アカウントも影響を受けます。つまり、コストを削減する方法を特定する Trusted Advisor チェックは受け取られません。 Trusted Advisor コンソールにはアクセスできません。アクセス拒否エラーを Trusted Advisor 返す API コール。

 Trusted Advisorを再度有効化するには、`AWSServiceRoleForTrustedAdvisor` サービスリンクロールを再作成する必要があります。

`AWSServiceRoleForTrustedAdvisor` サービスにリンクされたロールを削除する前に、まずコンソール Trusted Advisor で を無効にする必要があります。

**を無効にするには Trusted Advisor**

1. にサインイン AWS マネジメントコンソール し、 で Trusted Advisor コンソールに移動します[https://console.aws.amazon.com/trustedadvisor](https://console.aws.amazon.com/trustedadvisor)。

1. ナビゲーションペインで [**設定**] を選択します。

1. [**Service Linked Role Permissions (サービスにリンクされたロールのアクセス許可)**] セクションで、[**Disable Trusted Advisor(無効にする)**] を選択します。

1. 確認ダイアログボックスで、[**OK**] を選択して、 Trusted Advisorを無効にすることを確認します。

無効にすると Trusted Advisor、すべての Trusted Advisor 機能が無効になり、 Trusted Advisor コンソールには無効になったステータスバナーのみが表示されます。

その後、IAM コンソール、 AWS CLI、または IAM API を使用して、 という名前 Trusted Advisor のサービスにリンクされたロールを削除できます`AWSServiceRoleForTrustedAdvisor`。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。