翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Verified Access のサービスにリンクされたロールを使用する
<a name="using-service-linked-roles"></a>

AWS Verified Access は、 サービスに直接リンクされた IAM ロールの一種である IAM AWS サービスにリンクされたロールを使用します。Verified Access のサービスにリンクされたロールは、Verified Access によって定義され、サービスが AWS のサービス ユーザーに代わって他の を呼び出すために必要なすべてのアクセス許可が含まれます。

サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Verified Access の設定が簡単になります。Verified Access は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Verified Access のみがそのロールを引き受けることができます。定義した許可には、トラスポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティに添付することはできません。

## Verified Access のためのサービスにリンクされたロールの許可
<a name="slr-permissions"></a>

Verified Access は、**AWSServiceRoleForVPCVerifiedAccess** という名前のサービスにリンクされたロールを使用して、サービスの使用に必要なリソースをアカウントにプロビジョニングします。

**AWSServiceRoleForVPCVerifiedAccess** サービスにリンクされたロールは、以下のサービスを信頼してロールを引き受けます。
+ `verified-access.amazonaws.com`

**AWSVPCVerifiedAccessServiceRolePolicy** という名前のロールのアクセス許可ポリシーでは、Verified Access は、指定されたリソースで次のアクションを完了することができます。
+ アクション `ec2:CreateNetworkInterface` すべてのサブネット、セキュリティグループ、およびタグ `VerifiedAccessManaged=true` が付いたすべてのネットワークインターフェイスで
+ アクション `ec2:CreateTags` 作成時のすべてのネットワークインターフェースで
+ アクション `ec2:DeleteNetworkInterface` タグ `VerifiedAccessManaged=true` が付いたすべてのネットワークインターフェースで
+ アクション `ec2:ModifyNetworkInterfaceAttribute` すべてのセキュリティグループ、およびタグ `VerifiedAccessManaged=true` が付いたすべてのネットワークインターフェースで

このポリシーのアクセス許可は、*AWS 「 マネージドポリシーリファレンスガイド*」でも確認できます。[AWSVPCVerifiedAccessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCVerifiedAccessServiceRolePolicy.html)」を参照してください。

サービスリンク役割の作成、編集、削除を IAM エンティティ (ユーザー、グループ、役割など) に許可するにはアクセス許可を設定する必要があります。詳細については、*「IAM User Guide」*(IAM ユーザーガイド) の[「Service-linked role permissions」](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)(サービスにリンクされたロールのアクセス権限) を参照してください。

## Verified Access のサービスにリンクされたロールを作成する
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは API で **CreateVerifiedAccessEndpoint** を AWS 呼び出すと、Verified Access によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。**CreateVerifiedAccessEndpoint** を再度呼び出すと、 によって、Verified Access によってサービスにリンクされたロールが再度作成されます。

## Verified Access のサービスにリンクされたロールを編集する
<a name="edit-slr"></a>

Verified Access では、サービスにリンクされたロールである **AWSServiceRoleForVPCVerifiedAccess** を編集できません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)」を参照してください。

## Verified Access のサービスにリンクされたロールを削除する
<a name="delete-slr"></a>

**AWSServiceRoleForVPCVerifiedAccess** ロールを手動で削除する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは API で **DeleteVerifiedAccessEndpoint** を AWS 呼び出すと、Verified Access はリソースをクリーンアップし、サービスにリンクされたロールを削除します。

**サービスリンクロールを IAM で手動削除するには**

IAM コンソール、 AWS CLI、または AWS API を使用して、**AWSServiceRoleForVPCVerifiedAccess** サービスリンクロールを削除します。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください。

## Verified Access サービスにリンクされたロールをサポートするリージョン
<a name="slr-regions"></a>

Verified Access は、サービスを利用できるすべての で AWS リージョン 、サービスにリンクされたロールの使用をサポートしています。詳細については、「[AWS リージョンとエンドポイント](https://docs.aws.amazon.com/general/latest/gr/rande.html)」を参照してください。