翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Detective のサービスリンクロールの使用
Amazon Detective は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Detective に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Detective によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
サービスリンクロールを使用すると、必要な設定を手動で追加する必要がないため、 Detective の設定が簡単になります。Detective は、サービスリンクロールのアクセス許可を定義します。特に定義されている場合を除き、Detective のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールは、まずその関連リソースを削除しなければ削除できません。これにより、Detective リソースへの意図しないアクセスによる許可の削除が防止され、 リソースは保護されます。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携する AWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」で「**サービスリンクロール**」列が「**はい**」になっているサービスを検索してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「**はい**」のリンクをクリックします。
## Detective のサービスリンクロールにおけるアクセス許可
Detective は、**AWSServiceRoleForDetective** という名前のサービスにリンクされたロールを使用します – Detective がユーザーに代わって AWS Organizations 情報にアクセスできるようにします。
サービスリンクロール AWSServiceRoleForDetective は、このロールを引き受ける次のサービスを信頼します。
+ `detective.amazonaws.com`
サービスリンクロール AWSServiceRoleForDetective は、マネージドポリシー [`AmazonDetectiveServiceLinkedRolePolicy`](security-iam-awsmanpol.md#security-iam-awsmanpol-amazondetectiveservicelinkedrolepolicy) を使用します。
`AmazonDetectiveServiceLinkedRolePolicy` ポリシーの更新の詳細については、[「Amazon Detective updates to AWS managed policies](https://docs.aws.amazon.com//detective/latest/userguide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates)」を参照してください。このポリシーの変更に関する自動アラートについては、[Detective ドキュメント履歴](https://docs.aws.amazon.com//detective/latest/userguide/doc-history.html)ページの RSS フィードにサブスクライブしてください。
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)(サービスリンクロールのアクセス権限) を参照してください。
## Detective のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で組織の Detective 管理者アカウントを指定すると、Detective によってサービスにリンクされたロールが作成されます。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ方法でアカウントにロールを再作成できます。組織の Detective 管理者アカウントを指定すると、Detective により、サービスリンクロールが再び自動的に作成されます。
## Detective のサービスリンクロールの編集
Detective で、サービスリンクロール AWSServiceRoleForDetective を編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」の「*サービスリンクロールの編集*」を参照してください。
## Detective のサービスリンクロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除する際に、Detective のサービスでこのロールが使用されている場合、削除は失敗することがあります。失敗した場合は、数分待ってから操作を再試行してください。
**AWSServiceRoleForDetective が使用している Detective リソースを削除するには**
1. Detective 管理者アカウントを削除します。「[組織の Detective 管理者の指定](accounts-designate-admin.md)」を参照してください。
1. Detective 管理者アカウントを指定した各リージョンでこのプロセスを繰り返します。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForDetective サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。
## Detective のサービスリンクロールをサポートするリージョン
Detective は、Detective サービスが利用可能なすべてのリージョンで、サービスリンクロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。