翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# のサービスにリンクされたロールの使用 AWS Compute Optimizer
AWS Compute Optimizer は AWS Identity and Access Management (IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Compute Optimizer に直接リンクされた IAM ロールの一意のタイプです。サービスにリンクされたロールは Compute Optimizer によって事前定義されており、サービスがユーザーに代わって他のロールを呼び出すために必要なアクセス許可がすべて含まれています。
サービスリンクロールを使用することで、Compute Optimizer の設定に必要なアクセス許可を手動で追加する必要がなくなります。Compute Optimizer は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Compute Optimizer のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、「**サービスリンクロール**」列が「**はい**」になっているサービスを見つけてください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。
**Topics**
+ [
## Compute Optimizer のサービスリンクロールのアクセス許可
](#slr-permissions)
+ [
## サービスにリンクされたロールのアクセス許可
](#service-linked-role-permissions)
+ [
## Compute Optimizer でのサービスにリンクされたロールの作成
](#create-slr)
+ [
## Compute Optimizer のサービスにリンクされたロールの編集
](#edit-slr)
+ [
## Compute Optimizer のサービスにリンクされたロールの削除
](#delete-slr)
+ [
## Compute Optimizer のサービスリンクロールがサポートされるリージョン
](#slr-regions)
+ [
## その他のリソース
](#slr-resources)
## Compute Optimizer のサービスリンクロールのアクセス許可
Compute Optimizer は、**AWSServiceRoleForComputeOptimizer** という名前のサービスにリンクされたロールを使用して、アカウント内の AWS リソースの Amazon CloudWatch メトリクスにアクセスします。
[AWSServiceRoleForComputeOptimizer] のサービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `compute-optimizer.amazonaws.com`
このロールの許可ポリシーは、Compute Optimizer が指定されたリソースで以下のアクションを完了することを許可します。
+ アクション: すべての AWS リソース`cloudwatch:GetMetricData`で。
+ アクション: すべての AWS リソース`cloudwatch:DescribeAlarms`で。
+ アクション: すべての AWS リソース`organizations:DescribeOrganization`で。
+ アクション: すべての AWS リソース`organizations:ListAccounts`で。
+ アクション: すべての AWS リソースに対する `organizations:ListAWSServiceAccessForOrganization`。
+ アクション: すべての AWS リソースに対する `organizations:ListDelegatedAdministrators`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribeAutoScalingInstances`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribeAutoScalingGroups`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribePolicies`。
+ アクション: すべての AWS リソースに対する `autoscaling:DescribeScheduledActions`。
+ アクション: すべての AWS リソースに対する `ec2:DescribeInstances`。
+ アクション: すべての AWS リソースに対する `ec2:DescribeSnapshots`。
+ アクション: すべての AWS リソースに対する `ec2:DescribeVolumesModifications`。
+ アクション: すべての AWS リソースに対する `ec2:CreateVolume`。
+ アクション: すべての AWS リソースに対する `ec2:ModifyVolume`。
+ アクション: すべての AWS リソースに対する `ec2:DeleteVolume`。
+ アクション: すべての AWS リソースに対する `ec2:CreateSnapshot`。
+ アクション: すべての AWS リソースに対する `ec2:createTags`。
## サービスにリンクされたロールのアクセス許可
Compute Optimizer のサービスにリンクされたロールを作成するには、IAM エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールを作成できるように権限を設定します。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。
**IAM エンティティが Compute Optimizer のサービスにリンクされた特定のロールを作成することを許可するには**
サービスにリンクされたロールを作成する必要のある IAM エンティティに、次のポリシーを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
**IAM エンティティがサービスにリンクされた任意のロールを作成することを許可するには**
サービスにリンクされたロール、または必要なポリシーを含む任意のサービスロールを作成する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Compute Optimizer が顧客に代わって推奨アクションを実行できるようにするには**
サービスにリンクされたロールを作成する必要がある IAM エンティティのアクセス許可ポリシー、または必要なポリシーを含むサービスロールにステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。詳細については、 マネージドポリシーページの[AWS マネージドポリシー: ComputeOptimizerAutomationServiceRolePolicy](managed-policies.md#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)「」を参照してください。
## Compute Optimizer でのサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で Compute Optimizer サービスにオプトインすると、Compute Optimizer によってサービスにリンクされたロールが作成されます。
**重要**
サービスにリンクされたロールでサポートされている機能を使用する別のサービスでアクションを完了した場合、そのロールがアカウントに表示されることがあります。詳細については、「[IAMアカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再度作成できます。Compute Optimizer サービスにオプトインすると、Compute Optimizer により、サービスにリンクされたロールが再度作成されます。
## Compute Optimizer のサービスにリンクされたロールの編集
Compute Optimizer では、[AWSServiceRoleForComputeOptimizer] のサービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Compute Optimizer のサービスにリンクされたロールの削除
Compute Optimizer を使用する必要がなくなった場合は、[AWSServiceRoleForComputeOptimizer]の サービスにリンクされたロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングされたり、メンテナンスされたりすることがなくなります。ただし、サービスにリンクされたロールを手動で削除する前に、Compute Optimizer をオプトアウトする必要があります。
**Compute Optimizer をオプトアウトするには**
Compute Optimizer からのオプトアウトの詳細については、「[Compute Optimizer からのオプトアウト](account-opt-out.md)」を参照してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForComputeOptimizer サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Compute Optimizer のサービスリンクロールがサポートされるリージョン
Compute Optimizer では、このサービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートしています。現在サポートされている Compute Optimizer の AWS リージョン とエンドポイントを表示するには、「*AWS 全般のリファレンス*」の「[Compute Optimizer エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html)」を参照してください。
## その他のリソース
+ トラブルシューティング - [Compute Optimizer のトラブルシューティング](troubleshooting-account-opt-in.md)
+ [AWS の 管理ポリシー AWS Compute Optimizer](managed-policies.md)
+ [へのオプトイン AWS Compute Optimizer](account-opt-in.md)
+ [の Identity and Access Management AWS Compute Optimizer](security-iam.md)