翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Elastic Beanstalk サービスロール
<a name="concepts-roles-service"></a>

サービスロールは、他のサービスを代理で呼び出すときに Elastic Beanstalk が引き受ける IAM ロールです。例えば、Elastic Beanstalk は、Amazon Elastic Compute Cloud (Amazon EC2)、Elastic Load Balancing、Amazon EC2 Auto Scaling の各 API を呼び出すときに、サービスロールを使用して情報を収集します。Elastic Beanstalk が使用するサービスロールは、Elastic Beanstalk 環境を作成するときに指定したサービスロールになります。

サービスロールにアタッチする管理ポリシーには 2 つの種類があります。これらのポリシーは、Elastic Beanstalk が環境を作成および管理するために必要な AWS リソースにアクセスできるようにするアクセス許可を提供します。1 つは、[拡張ヘルスモニタリング](health-enhanced.md)と、ワーカー層の Amazon SQS サポートに必要なアクセス権限を付与する管理ポリシーであり、もう 1 つは、[マネージドプラットフォーム](environment-platform-update-managed.md)の更新に必要な追加のアクセス権限を付与する管理ポリシーです。



## `AWSElasticBeanstalkEnhancedHealth`
<a name="iam-servicerole-policy.health"></a>

このポリシーでは、インスタンスおよび環境のヘルスをモニタリングするアクセス許可を Elastic Beanstalk に付与します。このポリシーには、Elastic Beanstalk にワーカー環境のキューアクティビティのモニタリングを許可する Amazon SQS アクションも含まれています。マネージドポリシーの内容を表示するには、「*AWS マネージドポリシーリファレンス*ガイド」の「[AWSElasticBeanstalkEnhancedHealth](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkEnhancedHealth.html)」ページを参照してください。

## `AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy`
<a name="iam-servicerole-policy.service"></a>

このポリシーでは、お客様に代わって環境を更新してマネージドプラットフォームを更新するアクセス許可を Elastic Beanstalk に付与します。マネージドポリシーの内容を表示するには、「*AWS マネージドポリシーリファレンスガイド*」の「[AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSElasticBeanstalkManagedUpdatesCustomerRolePolicy.html)」ページを参照してください。

**サービスレベルでのアクセス許可のグループ化 **

このポリシーは、提供された一連の許可に基づくステートメントごとにグループ化されます。
+ *`ElasticBeanstalkPermissions`* – このアクセス許可グループは、Elastic Beanstalk サービスアクション (Elastic Beanstalk API) を呼び出す際に使用します。
+ *`AllowPassRoleToElasticBeanstalkAndDownstreamServices`* – このアクセス許可グループにより、Elastic Beanstalk や CloudFormationなどのダウンストリームサービスに対し、任意のロールを渡すことが可能になります。
+ *`ReadOnlyPermissions`* – このアクセス許可グループは、実行中の環境に関する情報を収集するため使用します。
+ *`*OperationPermissions`* – この命名パターンを持つグループは、プラットフォームの更新を実行するために必要なオペレーションを呼び出すためのものです。
+ *`*BroadOperationPermissions`* – この命名パターンを持つグループは、プラットフォームの更新を実行するために必要なオペレーションを呼び出すためのものです。またこれには、レガシー環境をサポートするための広範なアクセス許可も含まれています。
+ `*TagResource`– この命名パターンのグループは、tag-on-create API を使用して Elastic Beanstalk 環境で作成されているリソースにタグをアタッチする呼び出し用です。

次のいずれかの方法で Elastic Beanstalk 環境を作成できます。各セクションでは、このアプローチがサービスロールを処理する方法について説明します。

**Elastic Beanstalk コンソール**  
Elastic Beanstalk コンソールを使って環境を作成する場合、Elastic Beanstalk で、`aws-elasticbeanstalk-service-role` という名前のサービスロールを作成するよう指示されます。Elastic Beanstalk を介して作成されたこのロールには、Elastic Beanstalk がそのサービスロールを担うことを許可する信頼ポリシーが含まれます。このトピックで前述した 2 つの管理ポリシーもこのロールにアタッチされています。

**Elastic Beanstalk コマンドラインインターフェイス (EB CLI)**  
Elastic Beanstalk コマンドラインインターフェイス (EB CLI) の [**eb create**](eb3-create.md) コマンドを使用して環境を作成できます。`--service-role` オプションを使用してサービスロールを指定しない場合は、Elastic Beanstalk が同じデフォルトサービスロール `aws-elasticbeanstalk-service-role` を作成します。デフォルトのサービスロールが既に存在する場合、Elastic Beanstalk はそのサービスロールを新しい環境で使用します。Elastic Beanstalk を介して作成されたこのロールには、Elastic Beanstalk がそのサービスロールを担うことを許可する信頼ポリシーが含まれます。このトピックで前述した 2 つの管理ポリシーもこのロールにアタッチされています。

**Elastic Beanstalk API**  
Elastic Beanstalk API の `CreateEnvironment` アクションを使用して環境を作成することができます。サービスロールを指定しない場合、Elastic Beanstalk がモニタリングサービスリンクロールを作成します。これは、サービスが AWS のサービス ユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可を含めるために Elastic Beanstalk によって事前定義された一意のタイプのサービスロールです。このサービスリンクロールはお客様のアカウントに関連付けられています。Elastic Beanstalk によって一度作成されたロールは、追加の環境を作成するときにも使用されます。IAM を使用して、アカウント用のモニタリングサービスリンクロールを事前に作成することもできます。アカウントにモニタリングサービスリンクロールがある場合は、Elastic Beanstalk コンソール、Elastic Beanstalk API、または EB CLI のいずれかを使用して、そのロールで環境を作成することができます。サービスリンクロールを Elastic Beanstalk 環境で使用する方法については、「[Elastic Beanstalk でのサービスにリンクされたロールの使用](using-service-linked-roles.md)」を参照してください。

サービスロールの詳細については、「[Elastic Beanstalk サービスロールの管理](iam-servicerole.md)」を参照してください。