VPC フローログのサービスリンクロールの使用
VPC フローログは、AWS Identity and Access Management (IAM) のサービスリンクロールを使用します。サービスリンクロールは、VPC フローログに直接リンクされた一意のタイプの IAM ロールです。サービスリンクロールは、VPC フローログによって事前定義されており、お客様の代わりにサービスから他の AWS のサービスを呼び出す必要のある許可がすべて含まれています。
サービスリンクロールを使用することで、必要な許可を手動で追加する必要がなくなるため、 VPC フローログの設定が簡単になります。VPC フローログは、サービスリンクロールのアクセス許可を定義します。また、別途定義されている場合を除き、VPC フローログのみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。
サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。こうすることで、不注意によりリソースにアクセスするための許可を削除することがなくなるため、VPC フローログのリソースが保護されます。
サービスにリンクされたロールをサポートする他のサービスについては、「IAM と連携する AWS のサービス」を参照し、サービスリンクロール列内ではいと表記されたサービスを確認してください。サービスリンクロールに関するドキュメントをサービスで表示するには、リンクで [はい] を選択します。
VPC フローログのサービスリンクロールのアクセス許可
VPC フローログは、AWSServiceRoleForVPCFlowLogs という名前のサービスリンクロールを使用します。このサービスリンクロールにより、VPC フローログはユーザーに代わって EventBridge マネージドルールを作成および管理し、DescribeTag API を呼び出して、タグフィールドを含むフローログサブスクリプションのリソースに関連付けられた EC2 タグ値の更新を自動的に追跡できるようになります。
AWSServiceRoleForVPCFlowLogs サービスリンクロールは、次のサービスを信頼してロールを引き受けます。
-
vpc-flow-logs.amazonaws.com
AWSVPCFlowLogsServiceRolePolicy という名前のロールアクセス許可ポリシーを使用すると、VPC フローログは指定されたリソースに対して次のアクションを完了できます。
-
アクション: タグ値を検証するために EC2 Autoscaling グループで
autoscaling:DescribeTagsを行う。アクション: タグ値を検証するために EC2 インスタンスと ElasticNetworkInterfaces で
tag:GetResourcesを行う。アクション: タグ変更イベントに関連する詳細タイプのソース
aws.tagおよびaws.autoscalingの新しいマネージドルールでevents:PutRuleを行う。アクション:
VPCFlowLogsEC2TagsManagedRuleおよび/またはVPCFlowLogsASGTagsManagedRuleという名前の VPC フローログによって作成されたマネージドルールでevents:DeleteRuleを行う。アクション:
VPCFlowLogsEC2TagsManagedRuleおよび/またはVPCFlowLogsASGTagsManagedRuleという名前の VPC フローログによって作成されたマネージドルールでevents:DescribeRuleを行う。アクション:
VPCFlowLogsEC2TagsManagedRuleおよび/またはVPCFlowLogsASGTagsManagedRuleという名前の VPC フローログによって作成されたマネージドルールでevents:PutTargetsを行う。アクション:
VPCFlowLogsEC2TagsManagedRuleおよび/またはVPCFlowLogsASGTagsManagedRuleという名前の VPC フローログによって作成されたマネージドルールでevents:RemoveTargetsを行う。
ユーザー、グループ、またはロールにサービスリンクロールの作成、編集、または削除を許可するには、アクセス許可を設定する必要があります。詳細についてはIAM ユーザーガイド の「サービスにリンクされた役割のアクセス許可」を参照してください。
VPC フローログのサービスリンクロールの作成
サービスリンクロールを手動で作成する必要はありません。ログ形式のタグフィールドと、AWS マネジメントコンソール、AWS CLI、または AWS API の関連付けられた TagFieldSpecifications パラメータを使用して CreateFlowLogs を作成すると、VPC フローログによってサービスリンクロールが作成されます。
重要
このサービスリンクロールはこのロールでサポートされている機能を使用する別のサービスでアクションが完了した場合にアカウントに表示されます。詳細については、「AWS アカウント に新しいロールが表示される」を参照してください。
このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。ログ形式のタグフィールドと関連付けられた TagFieldSpecifications パラメータを使用して CreateFlowLogs を作成すると、VPC フローログによって再度サービスリンクロールが作成されます。
AWSServiceRoleForVPCFlowLog ユースケースでサービスリンクロールを作成する場合にも、IAM コンソールを使用できます。AWS CLI または AWS API では、vpc-flow-logs.amazonaws.com サービス名を使用してサービスリンクロールを作成します。詳細については、IAM ユーザーガイドの「サービスリンクロールの作成」を参照してください。このサービスリンクロールを削除しても、同じ方法でロールを再作成できます。
VPC フローログのサービスリンクロールの編集
VPC フローログでは、AWSServiceRoleForVPCFlowLogs のサービスリンクロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「IAM ユーザーガイド」の「サービスリンクロールの編集」を参照してください。
VPC フローログのサービスリンクロールの削除
サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。
注記
リソースを削除する際に、VPC フローログサービスでそのロールが使用されている場合、削除できないことがあります。失敗した場合は数分待ってから操作を再試行してください。
AWSServiceRoleForVPCFlowLogs が使用する VPC フローログリソースを削除するには
-
ログ形式のタグフィールドを使用するすべての VPC フローログサブスクリプションを削除してください。
-
アカウントのすべてのタグサブスクリプションが削除されたことをVPC フローログが処理し、ログエンリッチメントをサポートするために作成された EventBridge マネージドルールを自動的にクリーンアップするまで、少なくとも 1 時間待ちます。
サービスリンクロールを IAM で手動削除するには
IAM コンソール、AWS CLI、または AWS API を使用して、AWSServiceRoleForVPCFlowLogs サービスリンクロールを削除します。詳細については、「IAM ユーザーガイド」の「サービスにリンクされたロールの削除」を参照してください。
VPC フローログのサービスリンクロールをサポートするリージョン
VPC フローログは、サービスを利用できるすべてのリージョンで、サービスリンクロールの使用をサポートしているわけではありません。AWSServiceRoleForVPCFlowLogs ロールは、次のリージョンで使用できます。
| リージョン名 | リージョン識別子 | VPC フローログでのサポート |
|---|---|---|
| 米国東部 (バージニア北部) | us-east-1 | はい |
| 米国東部 (オハイオ) | us-east-2 | はい |
| 米国西部 (北カリフォルニア) | us-west-1 | はい |
| 米国西部 (オレゴン) | us-west-2 | はい |
| アフリカ (ケープタウン) | af-south-1 | はい |
| アジアパシフィック (香港) | ap-east-1 | はい |
| アジアパシフィック (ジャカルタ) | ap-southeast-3 | はい |
| アジアパシフィック (ムンバイ) | ap-south-1 | はい |
| アジアパシフィック (大阪) | ap-northeast-3 | はい |
| アジアパシフィック (ソウル) | ap-northeast-2 | はい |
| アジアパシフィック (シンガポール) | ap-southeast-1 | はい |
| アジアパシフィック (シドニー) | ap-southeast-2 | はい |
| アジアパシフィック (東京) | ap-northeast-1 | はい |
| カナダ (中部) | ca-central-1 | はい |
| 欧州 (フランクフルト) | eu-central-1 | はい |
| 欧州 (アイルランド) | eu-west-1 | はい |
| 欧州 (ロンドン) | eu-west-2 | はい |
| 欧州 (ミラノ) | eu-south-1 | はい |
| 欧州 (パリ) | eu-west-3 | はい |
| 欧州 (ストックホルム) | eu-north-1 | はい |
| 中東 (バーレーン) | me-south-1 | はい |
| 中東 (アラブ首長国連邦) | me-central-1 | はい |
| 南米 (サンパウロ) | sa-east-1 | はい |
| AWS GovCloud (米国東部) | us-gov-east-1 | はい |
| AWS GovCloud (米国西部) | us-gov-west-1 | はい |