翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Ground Station のサービスにリンクされたロールを使用する
<a name="using-service-linked-roles"></a>

AWS Ground Station は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Ground Station に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Ground Station によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス許可を手動で追加する必要がなくなるため、Ground Station の設定が簡単になります。Ground Station は、サービスにリンクされたロールのアクセス許可を定義し、他の定義がされている場合を除き、Ground Station のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスにリンクされたロールをサポートする他のサービスの詳細については、[AWS 「IAM と連携するサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照し、「サービス**にリンクされたロール**」列で**「はい**」があるサービスを探します。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで **[はい]** を選択します。

## Ground Station のサービスにリンクされたロールのアクセス許可
<a name="slr-permissions"></a>

Ground Station は、**AWSServiceRoleForGroundStationDataflowEndpointGroup** というサービスにリンクされたロールを使用します – AWS GroundStation は、このサービスにリンクされたロールを使用して EC2 を呼び出し、パブリック IPv4 アドレスを検索します。

AWSServiceRoleForApplicationDiscoveryServiceContinuousExport という、サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `groundstation.amazonaws.com`

AWSServiceRoleForGroundStationDataflowEndpointGroupPolicy というロールのアクセス許可ポリシーでは、Ground Station は、指定されたリソースで次のアクションを完了することができます。
+ アクション: `ec2:DescribeAddresses`。対象リソース: `all AWS resources (*)`

   アクションにより、Ground Station は EIP に関連付けられているすべての IP を一覧表示できます。
+ アクション: `ec2:DescribeNetworkInterfaces`。対象リソース: `all AWS resources (*)`

   アクションにより、Ground Station は EC2 インスタンスに関連付けられたネットワークインターフェイスに関する情報を取得できます 

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## Ground Station へのサービスにリンクされたロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS CLI または AWS API で DataflowEndpointGroup を作成すると、Ground Station によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。DataflowEndpointGroup を作成すると、Ground Station によってサービスにリンクされたロールが再作成されます。

IAM コンソールを使用して、**Amazon EC2 へのデータ配信**ユースケースで、サービスにリンクされたロールを作成することもできます。 AWS CLI または AWS API で、サービス名を使用して`groundstation.amazonaws.com`サービスにリンクされたロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## Ground Station でのサービスにリンクされたロールの編集
<a name="edit-slr"></a>

Ground Station では、サービスにリンクされたロールである AWSServiceRoleForGroundStationDataflowEndpointGroup を編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Ground Station でのサービスにリンクされたロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。

 サービスにリンクされたロールは、サービスにリンクされたロールを使用して DataflowEndpointGroups を削除した後でしか削除できません。これにより、DataflowEndpointGroups に対するアクセス許可を誤って取り消すことがなくなります。サービスにリンクされたロールが複数の DataflowEndpointGroups で使用されている場合、サービスにリンクされたロールを削除する前に、そのロールを使用するすべての DataflowEndpointGroups を削除する必要があります。

**注記**  
リソースを削除する際に、Ground Station のサービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForGroundStationDataflowEndpointGroup によって使用される Ground Station リソースを削除するには**
+  AWS CLI または AWS API を使用して DataflowEndpointGroups を削除します。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、、 AWS CLIまたは AWS API を使用して、AWSServiceRoleForGroundStationDataflowEndpointGroup サービスにリンクされたロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## Ground Station のサービスにリンクされたロールがサポートされるリージョン
<a name="slr-regions"></a>

Ground Station は、サービスが利用可能なすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「[リージョン表](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)」を参照してください。

## トラブルシューティング
<a name="slr-troubleshooting"></a>

`NOT_AUTHORIZED_TO_CREATE_SLR` - これは、CreateDataflowEndpointGroup API の呼び出しに使用されているアカウントのロールに `iam:CreateServiceLinkedRole` のアクセス許可がないことを示しています。`iam:CreateServiceLinkedRole` のアクセス許可を持つ管理者は、アカウントのサービスにリンクされたロールを手動で作成する必要があります。