翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon EMR on EKS でのサービスにリンクされたロールの使用
<a name="using-service-linked-roles"></a>

Amazon EMR on EKS は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon EMR on EKS に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Amazon EMR on EKS によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon EMR on EKS の設定が簡単になります。サービスにリンクされたロールのアクセス許可は、Amazon EMR on EKS により定義されます。特に指定されている場合を除き、Amazon EMR on EKS のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへのアクセス許可を誤って削除することが防止され、Amazon EMR on EKS リソースが保護されます。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。

## Amazon EMR on EKS でのサービスにリンクされたロールのアクセス許可
<a name="slr-permissions"></a>

Amazon EMR on EKS では、サービスにリンクされたロール **AWSServiceRoleForAmazonEMRContainers** を使用します。

`AWSServiceRoleForAmazonEMRContainers` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `emr-containers.amazonaws.com`

ロールのアクセス許可ポリシー `AmazonEMRContainersServiceRolePolicy` は、以下のポリシーステートメントで示すように、指定したリソースに対して一連のアクションを実行することを Amazon EMR on EKS に許可します。

**注記**  
マネージドポリシーの内容は変わるため、ここに示すポリシーは古くなっている可能性があります。JSON ポリシードキュメントの最新バージョンを確認するには「*AWS 管理ポリシーリファレンスガイド*」の「[AmazonEMRContainersServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEMRContainersServiceRolePolicy.html)」を参照してください。

------
#### [ JSON ]

****  

```
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Action": [
        "eks:DescribeCluster",
        "eks:ListNodeGroups",
        "eks:DescribeNodeGroup",
        "ec2:DescribeRouteTables",
        "ec2:DescribeSubnets",
        "ec2:DescribeSecurityGroups",
        "elasticloadbalancing:DescribeInstanceHealth",
        "elasticloadbalancing:DescribeLoadBalancers",
        "elasticloadbalancing:DescribeTargetGroups",
        "elasticloadbalancing:DescribeTargetHealth",
        "eks:ListPodIdentityAssociations",
        "eks:DescribePodIdentityAssociation"
      ],
      "Resource": [
        "*"
      ],
      "Sid": "AllowEKSDescribecluster"
    },
    {
      "Effect": "Allow",
      "Action": [
        "acm:ImportCertificate",
        "acm:AddTagsToCertificate"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:RequestTag/emr-container:endpoint:managed-certificate": "true"
        }
      },
      "Sid": "AllowACMImportcertificate"
    },
    {
      "Effect": "Allow",
      "Action": [
        "acm:DeleteCertificate"
      ],
      "Resource": [
        "*"
      ],
      "Condition": {
        "StringEquals": {
          "aws:ResourceTag/emr-container:endpoint:managed-certificate": "true"
        }
      },
      "Sid": "AllowACMDeletecertificate"
    }
  ]
}
```

------

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## Amazon EMR on EKS でのサービスにリンクされたロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。サービスにリンクされたロールは、仮想クラスターの作成時に Amazon EMR on EKS によって自動的に作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。サービスにリンクされたロールは、仮想クラスターの作成時に Amazon EMR on EKS によって再度作成されます。

IAM コンソールを使用して、**Amazon EMR on EKS** ユースケースでサービスにリンクされたロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用して`emr-containers.amazonaws.com`サービスにリンクされたロールを作成します。詳細については、「IAM ユーザーガイド**」の「[サービスにリンクされたロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## Amazon EMR on EKS でのサービスにリンクされたロールの編集
<a name="edit-slr"></a>

Amazon EMR on EKS では、`AWSServiceRoleForAmazonEMRContainers` のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Amazon EMR on EKS でのサービスにリンクされたロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースの削除を試みた際に、対応するロールが Amazon EMR on EKS サービスで使用されている場合、削除が失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

**`AWSServiceRoleForAmazonEMRContainers` で使用されている Amazon EMR on EKS リソースを削除するには**

1. Amazon EMR コンソールを開きます。

1. 仮想クラスターを選択します。

1. `Virtual Cluster` ページで、**[削除]** を選択します。

1. この手順をアカウント内の他のすべての仮想クラスターに対して繰り返します。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、`AWSServiceRoleForAmazonEMRContainers`サービスにリンクされたロールを削除します。詳細については、「[IAM ユーザーガイド](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」の「*サービスリンクロールの削除*」を参照してください。

## Amazon EMR on EKS のサービスにリンクされたロールがサポートされるリージョン
<a name="slr-regions"></a>

Amazon EMR on EKS では、このサービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用がサポートされます。詳細については、「[Amazon EMR on EKS サービスエンドポイントとサービスクォータ](service-quotas.md)」を参照してください。