

• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# ロールを使用した OpsCenter および Explorer の AWS アカウント 情報の収集
<a name="using-service-linked-roles-service-action-2"></a>

Systems Manager は、**`AWSServiceRoleForAmazonSSM_AccountDiscovery`** と呼ばれるサービスにリンクされたロールを使用します。AWS Systems Manager は、この IAM サービスロールを使用して、AWS アカウント 情報を検出するために他の AWS のサービスを呼び出します。

## Systems Manager アカウント検出のためのサービスにリンクされたロールの許可
<a name="service-linked-role-permissions-service-action-2"></a>

`AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `accountdiscovery.ssm.amazonaws.com`

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount` 
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## Systems Manager の `AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールの作成
<a name="create-service-linked-role-service-action-2"></a>

Systems Manager のツールである Explorer および OpsCenter を複数の AWS アカウントで使用する場合は、サービスにリンクされたロールを作成する必要があります。OpsCenter では、サービスにリンクされたロールを手作業で作成する必要があります。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。

Explorer では、AWS マネジメントコンソール で Systems Manager を使用してリソースデータ同期を作成する場合、**[Create role]** (ロールの作成) ボタンを選択して、サービスにリンクされたロールを作成できます。リソースデータの同期をプログラムで作成する場合は、リソースデータの同期を作成する前に、ロールを作成する必要があります。[CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API オペレーションを使用してロールを作成できます。

## Systems Manager の `AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールの編集
<a name="edit-service-linked-role-service-action-2"></a>

Systems Manager では、`AWSServiceRoleForAmazonSSM_AccountDiscovery` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Systems Manager の `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールの削除
<a name="delete-service-linked-role-service-action-2"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールをクリーンアップする必要があります。

### `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールのクリーンアップ
<a name="service-linked-role-review-before-delete-service-action-2"></a>

IAM を使用して `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを削除するには、最初に、Explorer リソースデータ同期をすべて削除する必要があります。

**注記**  
リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

### `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを手動で削除する
<a name="slr-manual-delete-service-action-2"></a>

IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールを削除します。詳細については、*IAM ユーザーガイド* の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` サービスにリンクされたロールをサポートするリージョン
<a name="slr-regions-service-action-2"></a>

Systems Manager は、サービスを利用できるすべてのリージョンで、サービスにリンクされたロールの使用をサポートします。詳細については、「[AWS Systems Manager エンドポイントとクォータ](https://docs.aws.amazon.com/general/latest/gr/ssm.html)」を参照してください。

## AWSServiceRoleForAmazonSSM\_AccountDiscovery のサービスにリンクされたロールへの更新
<a name="service-action-2-updates"></a>

このサービスがこれらの変更の追跡を開始して以降行われた、AWSServiceRoleForAmazonSSM\_AccountDiscovery のサービスにリンクされたロールの更新に関する詳細を表示します。このページの変更に関する自動通知については、[Systems Manager [ドキュメント履歴](systems-manager-release-history.md)] ページの RSS フィードを購読してください。


| 変更 | 説明 | 日付 | 
| --- | --- | --- | 
| 新しいアクセス許可の追加 | このサービスにリンクされたロールに、`organizations:DescribeOrganizationalUnit` および `organizations:ListRoots` のアクセス許可が含まれるようになりました。これらのアクセス許可により、AWS Organizations の管理アカウントまたは Systems Manager の委任された管理者アカウントが複数のアカウントで OpsItems を使用できるようになります。詳細については、「[(オプション) OpsCenter の手動設定により、複数のアカウント間で OpsItems を一元管理する](OpsCenter-getting-started-multiple-accounts.md)」を参照してください。 | 2022 年 10 月 17 日 |