翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon Chime SDK メッセージングのサービスリンクロールの使用
<a name="using-roles"></a>

Amazon Chime SDK は AWS Identity and Access Management (IAM) [ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon Chime SDK に直接リンクされた一意のタイプの IAM ロールです。Amazon Chime SDK は、サービスにリンクされたロールを事前定義し、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可を含めます。

サービスにリンクされたロールでは、必要な許可を手動で追加する必要がないので、Amazon Chime SDK を効率的に設定できます。サービスにリンクされたロールの許可は Amazon Chime SDK が定義し、別段の定義がない限り、Amazon Chime SDK のみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーとアクセス許可ポリシーが含まれます。アクセス許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、まずその関連リソースを削除します。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon Chime SDK リソースを保護します。

サービスにリンクされたロールをサポートするその他のサービスの詳細については、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照してください。**サービスにリンクされたロール**列が「**はい**」になっているサービスを見つけます。そのサービスに関するドキュメントを表示するには、**[はい]** リンクを選択します。

**Topics**
+ [サービスにリンクされたロールを使用して Amazon Chime SDK メッセージングのデータをストリーミングする](stream-service-linked.md)

# サービスにリンクされたロールを使用して Amazon Chime SDK メッセージングのデータをストリーミングする
<a name="stream-service-linked"></a>

以下のセクションでは、データストリーミングでサービスにリンクされたロールを管理する方法について説明します。

**Topics**
+ [サービスにリンクされたロールのアクセス許可](#role-permissions)
+ [サービスにリンクされたロールの作成](#create-service-linked-role)
+ [サービスにリンクされたロールの編集](#editing-roles)
+ [サービスにリンクされたロールによって使用されるリソースの削除](#cleaning-up)
+ [サービスにリンクされたロールの削除](#deleting-roles)

## サービスにリンクされたロールのアクセス許可
<a name="role-permissions"></a>

Amazon Chime SDK では、**AWSServiceRoleForChimeSDKMessaging** という名前のサービスリンクロールを使用します。このロールは、データストリーミングに使用される Kinesis ストリームなど、Amazon Chime SDK が使用または管理する AWS サービスおよびリソースへのアクセスを許可します。

**AWSServiceRoleForChimeSDKMessaging** サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ messaging.chime.amazonaws.com

ロールアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon Chime SDK に許可します。
+ `kms:GenerateDataKey` は、`kinesis.*.amazonaws.com` を使用してリクエストが行われた場合のみ。
+ `kinesis:PutRecord`、`kinesis:PutRecords`、または `kinesis:DescribeStream` は、以下の形式のストリームのみ: `arn:aws:kinesis:*:*:stream/chime-messaging-*`。

次の例はポリシーを示しています。

------
#### [ JSON ]

****  

```
{
    	"Version":"2012-10-17",		 	 	 
    	"Statement": [
    		{
    			"Effect": "Allow",
    			"Action": [
    				"kms:GenerateDataKey"
    			],
    			"Resource": "*",
    			"Condition": {
    				"StringLike": {
    					"kms:ViaService": [
    						"kinesis.*.amazonaws.com"
    					]
    				}
    			}
    		},
    		{
    			"Effect": "Allow",
    			"Action": [
    				"kinesis:PutRecord",
    				"kinesis:PutRecords",
    				"kinesis:DescribeStream"
    			],
    			"Resource": [
    				"arn:aws:kinesis:*:*:stream/chime-messaging-*"
    			]
    		}
    	]
    }
```

------

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールのアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## サービスにリンクされたロールの作成
<a name="create-service-linked-role"></a>

サービスリンクロールを手動で作成する必要はありません。[https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_messaging-chime_PutMessagingStreamingConfigurations.html](https://docs.aws.amazon.com/chime-sdk/latest/APIReference/API_messaging-chime_PutMessagingStreamingConfigurations.html) API を使用してデータストリーミング設定を作成する際に、Amazon Chime SDK によってサービスにリンクされたロールが作成されます。

IAM コンソールを使用して、Amazon Chime SDK ユースケースでサービスにリンクされたロールを作成することもできます。CLI または AWS API AWS で、サービス名を使用して`messaging.chime.amazonaws.com`サービスにリンクされたロールを作成します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このロールを削除しても、このプロセスを繰り返して再度作成することができます。

## サービスにリンクされたロールの編集
<a name="editing-roles"></a>

サービスにリンクされたロールの作成後は、その説明のみ編集できます。編集は IAM を使用して行います。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## サービスにリンクされたロールによって使用されるリソースの削除
<a name="cleaning-up"></a>

IAM を使用してサービスにリンクされた役割を削除するには最初に、その役割で使用されているリソースをすべて削除する必要があります。

**注記**  
Amazon Chime SDK がリソースを使用しているときにリソースを削除しようとすると、削除が失敗することがあります。削除が失敗した場合は、数分待ってから操作を再試行してください。

**AmazonChimeServiceChatStreamingAccess ロールで使用されているリソースを削除するには**  
次の CLI コマンドを実行して、アプリケーションインスタンスのデータストリーミングをオフにします。
+ `aws chime-sdk-messaging delete-messaging-streaming-configurations --app-instance-arn app_instance_arn`

このアクションにより、アプリインスタンスのストリーミング設定がすべて削除されます。

## サービスにリンクされたロールの削除
<a name="deleting-roles"></a>

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合は、そのロールを削除することをお勧めします。そうしないと、アクティブにモニタリングもメンテナンスもされない不使用のエンティティが存在することになります。ただし、ロールを手動で削除する前に、サービスにリンクされたロールによって使用されるリソースを削除する必要があります。

IAM コンソール、または AWS API を使用して AWS CLI、**AmazonChimeServiceRoleForChimeSDKMessaging**サービスにリンクされたロールを削除できます。詳細については、IAM ユーザーガイドの[「サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。