• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# ロールを使用してインベントリの収集と OpsData の表示を行う
<a name="using-service-linked-roles-service-action-1"></a>

Systems Manager は、**`AWSServiceRoleForAmazonSSM`** と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、このIAM サービスロールを使用して、ユーザーに代わって AWS リソースを管理します。

## インベントリ、OpsData、OpsItems のサービスにリンクされたロールアクセス権限
<a name="service-linked-role-permissions-service-action-1"></a>

`AWSServiceRoleForAmazonSSM` サービスにリンクされたロールは、このロールを引き受ける上で `ssm.amazonaws.com` のみを信頼します。

Systems Manager のサービスリンクロールの `AWSServiceRoleForAmazonSSM` は、次の目的で使用することができます。
+ Systems Manager Inventory ツールは、サービスリンクロールの `AWSServiceRoleForAmazonSSM` を使用して、インベントリのメタデータをタグおよびリソースグループから収集します。
+ Explorer ツールは、サービスリンクロールの `AWSServiceRoleForAmazonSSM` を使用して、複数のアカウントから OpsData および OpsItems を表示できるようにします。また、このサービスにリンクされたロールでは、Explorer または OpsCenter からデータソースとして Security Hub CSPM を有効にすると、Explorer がマネージドルールを作成できます。

**重要**  
以前は、Systems Manager コンソールが、AWS マネージド IAM サービスリンクロール `AWSServiceRoleForAmazonSSM` を選択して、タスクのメンテナンスロールとして使用する機能を提供していました。メンテナンスウィンドウのタスクにおける、このロールとそれに関連するポリシーである `AmazonSSMServiceRolePolicy` の使用は推奨されなくなりました。このロールをメンテナンスウィンドウのタスクに使用している場合は、使用を中止することをお勧めします。代わりに、メンテナンスウィンドウのタスクが実行されたときに、Systems Manager と他の AWS のサービス間の通信を可能にする独自の IAM ロールを作成します。  
詳細については、「[Maintenance Windows を設定する](setting-up-maintenance-windows.md)」を参照してください。

`AWSServiceRoleForAmazonSSM` ロールのアクセス許可を提供するために使用される管理ポリシーは、`AmazonSSMServiceRolePolicy` です。付与されるアクセス許可の詳細については、「[AWS 管理ポリシー: AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)」を参照してください。

## Systems Manager の `AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールの作成
<a name="create-service-linked-role-service-action-1"></a>

**EC2** ユースケースでサービスにリンクされたロールを作成するには、IAM コンソールを使用できます。IAM のコマンドを AWS Command Line Interface (AWS CLI) で使用するか、IAM API を使用して、`ssm.amazonaws.com` サービス名でサービスにリンクされたロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。

## Systems Manager の `AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールの編集
<a name="edit-service-linked-role-service-action-1"></a>

Systems Manager では、`AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Systems Manager の `AWSServiceRoleForAmazonSSM` サービスにリンクされたロールの削除
<a name="delete-service-linked-role-service-action-1"></a>

サービスにリンクされたロールが必要な機能またはサービスが不要になった場合は、そのロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。サービスにリンクされたロールは、IAM コンソール、AWS CLI、または IAM API を使用して手動で削除することができます。そのためにはまず、サービスにリンクされたロールのリソースをクリーンアップする必要があります。その後で、そのロールを手動で削除できます。

`AWSServiceRoleForAmazonSSM` のサービスにリンクされたロールは複数のツールで使用されていることがあるため、削除する前に、そのロールが使用されていないことを確認してください。
+ **Inventory**: インベントリツールで使用される、サービスにリンクされたロールを削除すると、タグとリソースグループのインベントリデータは同期されなくなります。手動で削除する前に、サービスにリンクされたロールのリソースをクリーンアップする必要があります。
+ **Explorer:** Explorer ツールで使用されるサービスにリンクされたロールを削除すると、クロスアカウント、クロスリージョン OpsData および OpsItems は表示できなくなります。

**注記**  
タグまたはリソースグループを削除する際に、Systems Manager サービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

**`AWSServiceRoleForAmazonSSM` で使用されている Systems Manager リソースを削除するには**

1. タグを削除するには、「[個々のリソースでのタグの追加と削除](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)」を参照してください。

1. リソースグループを削除するには、「[AWS Resource Groups からのグループの削除](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)」を参照してください。

**IAM を使用して `AWSServiceRoleForAmazonSSM` サービスリンクロールを手動で削除するには**

`AWSServiceRoleForAmazonSSM` サービスにリンクされたロールを削除するには、IAM コンソール、AWS CLI、または IAM API を使用します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## Systems Manager `AWSServiceRoleForAmazonSSM` サービスにリンクされたロールをサポートするリージョン
<a name="slr-regions-service-action-1"></a>

Systems Manager では、このサービスが利用可能なすべての AWS リージョン で、`AWSServiceRoleForAmazonSSM` サービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」を参照してください。