翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# Site-to-Site VPN のサービスにリンクされたロールの使用
<a name="using-service-linked-roles"></a>

AWS Site-to-Site VPN は AWS Identity and Access Management (IAM) サービスにリンクされたロールを使用します。サービスにリンクされたロールは、Site-to-Site VPN に直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは Site-to-Site VPN によって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用することで、必要なアクセス権限を手動で追加する必要がなくなるため、Site-to-Site VPN の設定が簡単になります。Site-to-Site VPN は、サービスにリンクされたロールのアクセス許可を定義します。特に定義されている場合を除き、Site-to-Site VPN のみがそのロールを引き受けることができます。定義される許可は信頼ポリシーと許可ポリシーに含まれており、その許可ポリシーを他の IAM エンティティにアタッチすることはできません。

サービスリンクロールを削除するには、最初に関連リソースを削除する必要があります。これにより、リソースへの意図しないアクセスによる許可の削除が防止され、Site-to-Site VPN リソースは保護されます。

## Site-to-Site VPN のサービスにリンクされたロールのアクセス許可
<a name="slr-permissions"></a>

Site-to-Site VPN は、**AWSServiceRoleForVPCS2SVPN** という名前のサービスにリンクされたロールを使用します。これにより、Site-to-Site VPN は、ユーザーの VPN 接続に関連するリソースを作成および管理できます。

AWSServiceRoleForVPCS2SVPN のサービスにリンクされたロールは、次のサービスを信頼してロールを引き受けます。
+ `s2svpn.amazonaws.com`

このサービスリンクロールは、マネージドポリシーである AWSVPCS2SVpnServiceRolePolicy を使用して、指定されたリソースに対して次のアクションを完了します。
+ VPN 接続に証明書認証を使用する場合、 AWS Site-to-Site VPN は VPN トンネルエンドポイントで使用する VPN トンネル AWS Certificate Manager 証明書をエクスポートします。
+ VPN 接続に証明書認証を使用する場合、 は VPN トンネル AWS Certificate Manager 証明書の更新 AWS Site-to-Site VPN を管理します。
+ VPN 接続に SecretsManager 事前共有キーストレージを使用する場合、 AWS Site-to-Site VPN は VPN 接続の s2svpn AWS Secrets Manager マネージドシークレットを管理します。

このポリシーのアクセス許可を確認するには、「*AWS マネージドポリシーリファレンス*」の「[AWSVPCS2SVpnServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCS2SVpnServiceRolePolicy.html)」を参照してください。

## Site-to-Site VPN サービスにリンクされたロールを作成する
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。 AWS マネジメントコンソール、、 AWS CLIまたは AWS API で関連付けられた ACM プライベート証明書を持つカスタマーゲートウェイを作成すると、Site-to-Site VPN によってサービスにリンクされたロールが作成されます。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。関連付けられた ACM プライベート証明書を使用してカスタマーゲートウェイを作成すると、Site-to-Site VPN によってサービスにリンクされたロールが再度作成されます。

## Site-to-Site VPN のサービスにリンクされたロールを編集する
<a name="edit-slr"></a>

Site-to-Site VPN で、AWSServiceRoleForVPCS2SVPN のサービスにリンクされたロールを編集することはできません。サービスリンクロールの作成後は、さまざまなエンティティがロールを参照する可能性があるため、ロール名を変更することはできません。ただし、IAM を使用してロールの説明を編集することはできます。詳細については、「*IAM ユーザーガイド*」の「[サービスにリンクされたロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)」を参照してください。

## Site-to-Site VPN サービスにリンクされたロールを削除する
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

**注記**  
リソースを削除する際に、Site-to-Site VPN サービスでそのロールが使用されている場合、削除は失敗することがあります。失敗した場合は数分待ってから操作を再試行してください。

**AWSServiceRoleForVPCS2SVPN が使用する Site-to-Site VPN リソースを削除するには**  
このサービスにリンクされたロールは、関連付けられた ACM プライベート証明書を持つすべてのカスタマーゲートウェイを削除した後にのみ削除できます。これにより、Site-to-Site VPN 接続で使用されている ACM 証明書へのアクセス許可を誤って削除してしまうことがなくなります。

**サービスリンクロールを IAM で手動削除するには**  
IAM コンソール、 AWS CLI、または AWS API を使用して、AWSServiceRoleForVPCS2SVPN サービスにリンクされたロールを削除します。詳細については、「IAM ユーザーガイド」の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)」を参照してください