翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Amazon MWAA のサービスにリンクされたロール
<a name="mwaa-slr"></a>

Amazon Managed Workflows for Apache Airflow は AWS Identity and Access Management 、(IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、Amazon MWAA に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Amazon MWAA によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要な設定を手動で追加する必要がないため、Amazon MWAA の設定が簡単になります。サービスリンクロールの許可は Amazon MWAA が定義し、特に定義されない限り、Amazon MWAA のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これは、リソースにアクセスするための許可を不用意に削除できないため、Amazon MWAA リソースを保護できます。

サービスにリンクされたロールをサポートする他のサービスについては、[IAM と連動するAWS のサービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) を参照し、**Service-linked roles** (サービスにリンクされたロール) の列内で **はい** と表記されたサービスを検索してください。サービスリンクロールに関するドキュメントをサービスでアクセスするには、リンクで **はい** を選択します。

## Amazon MWAA のサービスリンクロール許可
<a name="mwaa-slr-iam-policy"></a>

Amazon MWAA は という名前のサービスにリンクされたロールを使用します `AWSServiceRoleForAmazonMWAA` – アカウントで作成されたサービスにリンクされたロールは、Amazon MWAA に次の AWS サービスへのアクセスを許可します。
+ Amazon CloudWatch Logs (CloudWatch Logs) — Apache Airflow ログのロググループを作成します。
+ Amazon CloudWatch (CloudWatch) — お使いの環境とその基盤となるコンポーネントに関連するメトリクスをお使いのアカウントに公開します。
+ Amazon Elastic Compute Cloud (Amazon EC2) — 以下のリソースを作成するには:
  + Apache Airflow スケジューラとワーカーが使用する AWSマネージド Amazon Aurora PostgreSQL データベースクラスターの VPC 内の Amazon VPC エンドポイント。
  + Apache Airflow Web server の [プライベートネットワーク](configuring-networking.md) オプションを選択した場合に、Web serverへのネットワークアクセスを有効にする追加の Amazon VPC エンドポイント。
  + Amazon VPC の [Elastic Network Interface (ENIs)](https://docs.aws.amazon.com/vpc/latest/userguide/VPC_ElasticNetworkInterfaces.html) を使用して、Amazon VPC でホストされている AWS リソースへのネットワークアクセスを有効にします。

次の信頼ポリシーは、サービスプリンシパルがサービスにリンクされたロールを引き受けることを許可します。Amazon MWAA のサービスプリンシパルは、ポリシーに示されているとおり `airflow.amazonaws.com` です。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "airflow.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

`AmazonMWAAServiceRolePolicy` という名前のロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Amazon MWAA に許可します。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogStream",
                "logs:CreateLogGroup",
                "logs:DescribeLogGroups"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:airflow-*:*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AttachNetworkInterface",
                "ec2:CreateNetworkInterface",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeVpcEndpoints",
                "ec2:DescribeVpcs",
                "ec2:DetachNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateVpcEndpoint",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyVpcEndpoint",
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonMWAAManaged": false
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint",
                "ec2:ModifyVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:subnet/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                },
                "ForAnyValue:StringEquals": {
                    "aws:TagKeys": "AmazonMWAAManaged"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": "cloudwatch:PutMetricData",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/MWAA"
                    ]
                }
            }
        }
    ]
}
```

------

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については *IAM ユーザーガイド* の [サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) を参照してください。

## Amazon MWAA のサービスリンクロールの作成
<a name="mwaa-slr-create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API を使用して新しい Amazon MWAA 環境を作成すると、Amazon MWAA によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。別の環境を作成すると、Amazon MWAA によって、サービスにリンクされたロールが再度作成されます。

## Amazon MWAA のサービスリンクロールの編集
<a name="mwaa-slr-edit-slr"></a>

Amazon MWAA では、AWSServiceRoleForAmazonMWAA サービスにリンクされたロールの編集は許可されません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については　*IAM ユーザーガイド*　の　[サービスにリンクされた役割の編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)　を参照してください。

## Amazon MWAA のサービスリンクロールの削除
<a name="mwaa-slr-delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、モニタリングや保守が積極的に行われていない未使用のエンティティを排除できます。

Amazon MWAA 環境を削除すると、Amazon MWAA はサービスの一部として使用する関連リソースをすべて削除します。ただし、Amazon MWAA が環境の削除を完了するまで待ってから、サービスにリンクされたロールを削除する必要があります。Amazon MWAA が環境を削除する前にサービスにリンクされたロールを削除すると、Amazon MWAA は環境に関連するリソースをすべて削除できなくなる可能性があります。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForAmazonMWAA サービスにリンクされたロールを削除します。詳細については、*IAM ユーザーガイド* の [サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) を参照してください。

## Amazon MWAA サービスリンクロールがサポートされるリージョン
<a name="mwaa-slr-regions"></a>

Amazon MWAA は、サービスが利用可能なすべてのリージョンでサービスにリンクされたロールの使用をサポートします。詳細は、[Amazon Managed Workflows for Apache Airflow エンドポイントとクオータ](https://docs.aws.amazon.com/general/latest/gr/mwaa.html) を参照してください。

## ポリシーの更新
<a name="mwaa-slr-policies-updates"></a>


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
|  Amazon MWAA は、サービスにリンクされたロールの権限ポリシーを更新  |  [`AmazonMWAAServiceRolePolicy`](#mwaa-slr-iam-policy) — Amazon MWAA は、サービスにリンクされたロールのアクセス権限ポリシーを更新し、サービスの基盤となるリソースに関連する追加のメトリクスをカスタマーアカウントに公開する権限を Amazon MWAA に付与します。これらの新しいメトリクスは、`AWS/MWAA` で公開されます  |  2022 年 11 月 18 日  | 
|  Amazon MWAA が変更の追跡を開始しました  |  Amazon MWAA は AWS、マネージドサービスにリンクされたロールのアクセス許可ポリシーの変更の追跡を開始しました。  |  2022 年 11 月 18 日  |