• AWS Systems Manager CloudWatch ダッシュボードは、2026 年 4 月 30 日以降は利用できなくなります。お客様は、これまでと同様に Amazon CloudWatch コンソールを使用して、Amazon CloudWatch ダッシュボードの表示、作成、管理を継続できます。詳細については、「[Amazon CloudWatch ダッシュボードのドキュメント](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)」を参照してください。

# ロールを使用してジャストインタイムノードアクセスを有効にする
<a name="using-service-linked-roles-service-action-8"></a>

Systems Manager は、**`AWSServiceRoleForSystemsManagerJustInTimeAccess`** という名前のサービスリンクロールを使用します。AWS Systems Manager は、この IAM サービスロールを使用してジャストインタイムノードアクセスを有効にします。

## Systems Manager ジャストインタイムノードアクセス用のサービスリンクロールアクセス許可
<a name="slr-permissions-service-action-8"></a>

`AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `ssm.amazonaws.com`

ロールのアクセス許可ポリシーは、指定したリソースに対して以下のアクションを実行することを Systems Manager に許可します。
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember` 
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`

`AWSServiceRoleForSystemsManagerJustInTimeAccess` ロールのアクセス許可を提供するために使用される管理ポリシーは、`AWSSystemsManagerEnableJustInTimeAccessPolicy` です。付与されるアクセス許可の詳細については、「[AWS マネージドポリシー: AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)」を参照してください。

サービスにリンクされたロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するには、アクセス許可を設定する必要があります。詳細については*IAM ユーザーガイド* の「[サービスにリンクされた役割のアクセス許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

## Systems Manager の `AWSServiceRoleForSystemsManagerJustInTimeAccess` のサービスにリンクされたロールの作成
<a name="create-slr-service-action-8"></a>

サービスリンクロールを手動で作成する必要はありません。AWS マネジメントコンソールでジャストインタイムノードアクセスを有効にすると、Systems Manager が自動的にサービスリンクロールを作成します。

**重要**  
このサービスにリンクされたロールがアカウントに表示されるのは、このロールでサポートされている機能を使用する別のサービスでアクションが完了した場合です。また、サービスリンクロールのサポートが開始された 2024 年 11 月 19 日より前に Systems Manager サービスを使用していた場合、Systems Manager がアカウント内に `AWSServiceRoleForSystemsManagerJustInTimeAccess` ロールを既に作成しています。詳細については、「[IAM アカウントに新しいロールが表示される](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)」を参照してください。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は、同じ手順でアカウントにロールを再作成できます。AWS マネジメントコンソールでジャストインタイムノードアクセスを有効にすると、Systems Manager が再度自動的にサービスリンクロールを作成します。

また、**Systems Manager でジャストインタイムノードアクセスを有効にできるようにする AWS サービスロール**というユースケースでも、IAM コンソールを使用してサービスリンクロールを作成できます。AWS CLI または AWS API では、`ssm.amazonaws.com` サービス名を使用してサービスリンクロールを作成します。詳細については、*IAM ユーザーガイド*の「[サービスリンクロールの作成](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。

## Systems Manager の `AWSServiceRoleForSystemsManagerJustInTimeAccess` のサービスにリンクされたロールの編集
<a name="edit-slr-service-action-8"></a>

Systems Manager では、`AWSServiceRoleForSystemsManagerJustInTimeAccess` のサービスにリンクされたロールを編集することはできません。サービスにリンクされたロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## Systems Manager の `AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスにリンクされたロールの削除
<a name="delete-slr-service-action-8"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、使用していないエンティティがアクティブにモニタリングまたはメンテナンスされることがなくなります。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除する際に、Systems Manager のサービスでロールが使用されている場合、削除は失敗することがあります。その場合は、数分待ってからオペレーションを再試行してください。

**IAM を使用して `AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスリンクロールを手動で削除するには**

IAM コンソール、AWS CLI、または AWS API を使用して、`AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスリンクロールを削除します。詳細については、*IAM ユーザーガイド* の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` サービスにリンクされたロールをサポートするリージョン
<a name="slr-regions-service-action-8"></a>


****  

| AWS リージョン 名 | リージョン識別子 | Systems Manager でのサポート | 
| --- | --- | --- | 
| 米国東部 (バージニア北部) | us-east-1 | はい | 
| 米国東部 (オハイオ) | us-east-2 | はい | 
| 米国西部 (北カリフォルニア) | us-west-1 | はい | 
| 米国西部 (オレゴン)  | us-west-2 | はい | 
| アジアパシフィック (ムンバイ) | ap-south-1 | はい | 
| アジアパシフィック (大阪) | ap-northeast-3 | はい | 
| アジアパシフィック (ソウル) | ap-northeast-2 | はい | 
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい | 
| アジアパシフィック (シドニー) | ap-southeast-2 | はい | 
| アジアパシフィック (東京) | ap-northeast-1 | はい | 
| カナダ (中部) | ca-central-1 | はい | 
| 欧州 (フランクフルト) | eu-central-1 | はい | 
| 欧州 (アイルランド) | eu-west-1 | はい | 
| 欧州 (ロンドン) | eu-west-2 | はい | 
| 欧州 (パリ) | eu-west-3 | はい | 
| 欧州 (ストックホルム) | eu-north-1 | はい | 
| 南米 (サンパウロ) | sa-east-1 | はい | 
| AWS GovCloud (US)  | us-gov-west-1 | いいえ |