翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Managed Grafana のサービスリンクロールの使用
Amazon Managed Grafana は AWS Identity and Access Management 、(IAM) [サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon Managed Grafana に直接リンクされた特殊な IAM ロールです。サービスにリンクされたロールは Amazon Managed Grafana によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。
必要な許可を手動で追加する必要がないため、サービスリンクロールは Amazon Managed Grafana のセットアップを容易にします。サービスリンクロールの許可は Amazon Managed Grafana が定義し、別段の定義がない限り、Amazon Managed Grafana のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これは、リソースにアクセスするための許可を誤って削除できないため、Amazon Managed Grafana リソースを保護します。
サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」を持つサービスを探します。サービスにリンクされたロールに関するドキュメントをサービスで表示するには、**[あり]** (はい) リンクを選択します。
## Amazon Managed Grafana 向けのサービスリンクロールのアクセス許可
Amazon Managed Grafana は、**AmazonManagedGrafana** という名前のサービスリンクロールを使用します。Amazon Managed Grafana は、このロールを使用して、カスタマーアカウント内で ENIsや Secrets Manager シークレットなどのリソースを作成および設定します。AmazonManagedGrafana サービスリンクロールは、ロールの引き受けについて以下のサービスを信頼します。
+ `grafana.amazonaws.com`
AmazonManagedGrafana サービスにリンクされたロールが`AmazonGrafanaServiceLinkedRolePolicy`ポリシーにアタッチされます。このポリシーの更新については、「[AWS マネージドポリシーに対する Amazon Managed Grafana の更新](security-iam-awsmanpol.md#iam-awsmanpol-updates)」を参照してください
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon Managed Grafana に許可します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeVpcs",
"ec2:DescribeDhcpOptions",
"ec2:DescribeSubnets",
"ec2:DescribeSecurityGroups"
],
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "ec2:CreateNetworkInterface",
"Resource": "*",
"Condition": {
"ForAllValues:StringEquals": {
"aws:TagKeys": [
"AmazonGrafanaManaged"
]
}
}
},
{
"Effect": "Allow",
"Action": "ec2:CreateTags",
"Resource": "arn:aws:ec2:*:*:network-interface/*",
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"Null": {
"aws:RequestTag/AmazonGrafanaManaged": "false"
}
}
},
{
"Effect": "Allow",
"Action": "ec2:DeleteNetworkInterface",
"Resource": "*",
"Condition": {
"Null": {
"ec2:ResourceTag/AmazonGrafanaManaged": "false"
}
}
}
]
}
```
------
サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide(IAM ユーザーガイド)」* の[「Service-linked role permissions 」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) を参照してください。
## Amazon Managed Grafana のサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で VpcConfiguration を使用して CreateWorkspace を呼び出すと、Amazon Managed Grafana によってサービスにリンクされたロールが作成されます。
**重要**
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。また、サービスにリンクされたロールのサポートが開始された 2022 年 11 月 30 日より前に Amazon Managed Grafana サービスを使用していた場合、Amazon Managed Grafana はアカウントにおいて AmazonManagedGrafana ロールを作成しました。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。VpcConfiguration を使用して CreateWorkspace を呼び出すと、Amazon Managed Grafana はサービスリンクロールを再度作成します。
**Grafana** ユースケースでサービスリンクロールを作成するには、IAM コンソールも使用できます。 AWS CLI または AWS API で、サービス名を使用して`grafana.amazonaws.com`サービスにリンクされたロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
## Amazon Managed Grafana のサービスリンクロールの編集
Amazon Managed Grafana では、AmazonManagedGrafana サービスリンクロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、*「IAM ユーザーガイド」*の[「サービスリンクロールの編集」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)を参照してください。
## Amazon Managed Grafana のサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
**注記**
リソースを削除しようとしているときに Amazon Managed Grafana サービスがロールを使用している場合は、削除が失敗する可能性があります。失敗した場合は数分待ってから操作を再試行してください。
**AmazonManagedGrafana で使用される Amazon Managed Grafana リソースを削除するには**
1. `Region` AWS コンソールで **のすべてのワークスペース**ビューに移動します。
1. `Region` 内のすべてのワークスペースを削除します。各ワークスペースのラジオボタンを確認し、**[すべてのワークスペース]** ビューの右上にある **[削除]** ボタンを選択する必要があります。すべてのワークスペースが `Region` から削除されるまで、各ワークスペースの削除を繰り返します。Amazon Managed Grafana でワークスペースを削除する方法の詳細については、このユーザーガイドの[「ワークスペースの削除](https://docs.aws.amazon.com/grafana/latest/userguide/AMG-edit-delete-workspace.html)」を参照してください。
**注記**
ワークスペース AWS リージョン がある ごとにこの手順を繰り返します。ただし、サービスリンクロールを削除する前に、*[すべてのリージョンの]*すべてのワークスペースを削除する必要があります。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AmazonManagedGrafana サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Amazon Managed Grafana サービスリンクロールがサポートされるリージョン
Amazon Managed Grafana は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/grafana-service.html)」を参照してください。