翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。
# Amazon Lightsail のサービスにリンクされたロールの使用
Amazon Lightsail は AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスリンクロールは、Amazon Lightsail に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは によって事前定義Amazon Lightsailされており、 がユーザーに代わって他の AWS サービスを呼び出すLightsailために必要なすべてのアクセス許可が含まれています。
サービスリンクロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、Amazon Lightsail の設定が簡単になります。このサービスリンクロールのアクセス許可は Amazon Lightsail で定義します。特に定義されている場合を除き、Amazon Lightsail のみがそのロールを引き受けることができます。定義されたアクセス許可には、他の IAM エンティティにアタッチできない信頼ポリシーとアクセス許可ポリシーが含まれます。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへの意図しないアクセスによる権限の削除が防止され、Amazon Lightsail リソースは保護されます。
サービスリンクロールをサポートする他のサービスについては、「[IAM と連携する AWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」で「**サービスリンクロール**」列が「**はい**」になっているサービスを探してください。サービスにリンクされたロールに関するサービスのドキュメントを表示するには、「**はい**」のリンクをクリックします。
## Amazon Lightsail のサービスにリンクされたロールのアクセス許可
Amazon Lightsail は、**AWSServiceRoleForLightsail** という名前のサービスにリンクされたロールを使用します – Lightsailインスタンスとブロックストレージディスクスナップショットを Amazon Elastic Compute Cloud (Amazon EC2) にエクスポートし、Amazon Simple Storage Service (Amazon S3) から現在のアカウントレベルのブロックパブリックアクセス設定を取得します。
AWSServiceRoleForLightsail サービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `lightsail.amazonaws.com`
ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon Lightsail に許可します。
+ アクション: すべての AWS リソース`ec2:CopySnapshot`で。
+ アクション: すべての AWS リソース`ec2:DescribeSnapshots`で。
+ アクション: すべての AWS リソース`ec2:CopyImage`で。
+ アクション: すべての AWS リソース`ec2:DescribeImages`で。
+ アクション: すべての AWS CloudFormation スタック`cloudformation:DescribeStacks`で。
+ アクション: すべての AWS リソース`s3:GetAccountPublicAccessBlock`で。
### サービスリンクロールのアクセス許可
IAM; エンティティ (ユーザー、グループ、ロールなど) がサービスにリンクされたロールの説明を作成または編集できるようにするには、アクセス許可を設定する必要があります。
**特定のサービスにリンクされたロールの作成を IAM エンティティに許可するには**
サービスにリンクされたロールを作成する必要のある IAM エンティティに、次のポリシーを追加します。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
"Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
]
}
```
------
**IAM エンティティがサービスにリンクされた任意のロールを作成することを許可するには**
サービスにリンクされたロール、または必要なポリシーを含む任意のサービスロールを作成する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。このポリシーにより、ロールにポリシーがアタッチされます。
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**IAM エンティティが任意のサービスロールの説明を編集することを許可するには**
サービスにリンクされたロール、または任意のサービスロールの説明を編集する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。
```
{
"Effect": "Allow",
"Action": "iam:UpdateRoleDescription",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**IAM エンティティがサービスにリンクされた特定のロールを削除することを許可するには**
サービスにリンクされたロールを削除する必要のある IAM エンティティのアクセス許可ポリシーに、次のステートメントを追加します。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
```
**IAM エンティティがサービスロールを削除することを許可するには**
サービスにリンクされたロール、または任意のサービスロールを削除する必要のある IAM; エンティティのアクセス許可ポリシーに、次のステートメントを追加します。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
または、 AWS マネージドポリシーを使用して、サービスへのフルアクセスを提供することもできます。
## Amazon Lightsail のサービスにリンクされたロールの作成
サービスリンクロールを手動で作成する必要はありません。Lightsail インスタンスまたはブロックストレージディスクスナップショットを Amazon EC2 にエクスポートするか、 AWS AWS マネジメントコンソール、 AWS CLI、または AWS API でLightsailバケットを作成または更新すると、 によってサービスにリンクされたロールAmazon Lightsailが作成されます。
このサービスにリンクされたロールを削除した後に、そのロールを再作成する必要がある場合は、同じプロセスを使用してアカウントでロールを再作成することができます。Lightsail インスタンスまたはブロックストレージのディスクスナップショットを Amazon EC2 にエクスポートしたり、Lightsail バケットを作成または更新したりすると、Amazon Lightsail には、サービスにリンクされたロールが作成されます。
**重要**
サービスにリンクされたロールの作成を Amazon Lightsail に許可するように IAM アクセス許可を設定する必要があります。これを行うには、次の「*サービスにリンクされたロールのアクセス許可*」セクションのステップを実行します。
## Amazon Lightsail のサービスにリンクされたロールの編集
Amazon Lightsail では、AWSServiceRoleForLightsail サービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。
## Amazon Lightsail のサービスにリンクされたロールの削除
サービスリンクロールが必要な機能またはサービスが不要になった場合には、そのロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。ただし、AWSServiceRoleForLightsail サービスにリンクされたロールを削除する前に、保留中のコピー状態のAmazon Lightsailインスタンスまたはディスクスナップショットがないことを確認する必要があります。詳細については、「[スナップショットを Amazon EC2 にエクスポートする](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md)」を参照してください。
**サービスリンクロールを IAM で手動削除するには**
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForLightsail サービスにリンクされたロールを削除します。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。
## Amazon Lightsail のサービスにリンクされたロールをサポートするリージョン
Amazon Lightsail は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。Lightsail が使用できるリージョンの詳細については、「[Amazon Lightsail リージョン](https://docs.aws.amazon.com/general/latest/gr/rande.html#lightsail_region)」 を参照してください。