**の新しいコンソールエクスペリエンスの紹介 AWS WAF**

更新されたエクスペリエンスを使用して、コンソールの任意の場所で AWS WAF 機能にアクセスできるようになりました。詳細については、[「コンソールの使用](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)」を参照してください。

翻訳は機械翻訳により提供されています。提供された翻訳内容と英語版の間で齟齬、不一致または矛盾がある場合、英語版が優先します。

# AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの使用
<a name="security_iam_nsd-with-iam-roles-service-linked"></a>

このセクションでは、サービスにリンクされたロールを使用して、 AWS Shield ネットワークセキュリティディレクターに AWS アカウントのリソースへのアクセスを許可する方法について説明します。

AWS Shield ネットワークセキュリティディレクターは AWS Identity and Access Management (IAM)[ サービスにリンクされたロール](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)を使用します。サービスにリンクされたロールは、 AWS Shield ネットワークセキュリティディレクターに直接リンクされた一意のタイプの IAM ロールです。サービスにリンクされたロールは、 AWS Shield ネットワークセキュリティディレクターによって事前定義されており、サービスがユーザーに代わって他の AWS サービスを呼び出すために必要なすべてのアクセス許可が含まれています。

サービスにリンクされたロールを使用すると、必要なアクセス許可を手動で追加する必要がなくなるため、 AWS Shield ネットワークセキュリティディレクターの設定が簡単になります。 AWS Shield ネットワークセキュリティディレクターは、サービスにリンクされたロールのアクセス許可を定義し、特に定義されている場合を除き、 AWS Shield ネットワークセキュリティディレクターのみがそのロールを引き受けることができます。定義された許可には、信頼ポリシーと許可ポリシーが含まれます。この許可ポリシーを他の IAM エンティティにアタッチすることはできません。

IAM コンソールで、完全にサービスにリンクされたロール: [NetworkSecurityDirectorServiceLinkedRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/NetworkSecurityDirectorServiceLinkedRolePolicy) を参照してください。

サービスリンクロールの作成、編集、削除を IAM エンティティ (ユーザー、グループ、ロールなど) に許可するにはアクセス許可を設定する必要があります。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)」を参照してください。

サービスにリンクされたロールをサポートする他のサービスについては、「[IAM と連携するAWS サービス](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)」を参照して、**サービスにリンクされたロール**列が**はい**になっているサービスを見つけてください。サービスにリンクされた役割に関するドキュメントをサービスで表示するには[**はい**] リンクを選択してください。

## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールのアクセス許可
<a name="slr-permissions"></a>

`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスリンクロールは、以下のサービスを信頼してロールを引き受けます。
+ `network-director.amazonaws.com`

は、ユーザーに代わってさまざまな AWS リソースやサービスにアクセスして分析するためのアクセス許可を AWS Shield ネットワークセキュリティディレクターに`NetworkSecurityDirectorServiceLinkedRolePolicy`付与します。これには、以下が含まれます。
+ Amazon EC2 リソースからネットワーク設定とセキュリティ設定を取得する
+ CloudWatch メトリクスにアクセスしてネットワークトラフィックパターンを分析する
+ ロードバランサーとターゲットグループに関する情報を収集する
+  AWS WAF 設定とルールの収集
+  AWS Direct Connect ゲートウェイ情報へのアクセス
+ さらに、以下のアクセス許可リストで詳しく説明しています

次のリストは、特定のリソースへのダウンスコープをサポートしていないアクセス許可を対象としています。残りは、指定されたサービスリソースに対してダウンスコープされます。

```
 {
  "Sid": "ResourceLevelPermissionNotSupported",
  "Effect": "Allow",
  "Action": [
    "cloudwatch:GetMetricData",
    "cloudwatch:GetMetricStatistics",
    "ec2:DescribeAvailabilityZones",
    "ec2:DescribeCustomerGateways",
    "ec2:DescribeInstances",
    "ec2:DescribeInternetGateways",
    "ec2:DescribeManagedPrefixLists",
    "ec2:DescribeNatGateways",
    "ec2:DescribeNetworkAcls",
    "ec2:DescribeNetworkInterfaces",
    "ec2:DescribePrefixLists",
    "ec2:DescribeRegions",
    "ec2:DescribeRouteTables",
    "ec2:DescribeSecurityGroups",
    "ec2:DescribeSubnets",
    "ec2:DescribeTransitGateways",
    "ec2:DescribeTransitGatewayVpcAttachments",
    "ec2:DescribeTransitGatewayAttachments",
    "ec2:DescribeTransitGatewayPeeringAttachments",
    "ec2:DescribeTransitGatewayRouteTables",
    "ec2:DescribeVpcEndpoints",
    "ec2:DescribeVpcEndpointServiceConfigurations",
    "ec2:DescribeVpcPeeringConnections",
    "ec2:DescribeVpcs",
    "ec2:DescribeVpnConnections",
    "ec2:DescribeVpnGateways",
    "ec2:GetTransitGatewayRouteTablePropagations",
    "ec2:GetManagedPrefixListEntries",
    "elasticloadbalancing:DescribeLoadBalancers",
    "elasticloadbalancing:DescribeTargetGroups",
    "elasticloadbalancing:DescribeTags",
    "elasticloadbalancing:DescribeListeners",
    "elasticloadbalancing:DescribeTargetHealth",
    "elasticloadbalancing:DescribeTargetGroupAttributes",
    "elasticloadbalancing:DescribeRules",
    "elasticloadbalancing:DescribeLoadBalancencerAttributes",
    "wafv2:ListWebACLs",
    "cloudfront:ListDistributions",
    "cloudfront:ListTagsForResource",
    "directconnect:DescribeDirectConnectGateways",
    "directconnect:DescribeVirtualInterfaces"
  ],
  "Resource": "*"
}
```

**`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスにリンクされたロールのアクセス許可**  
次のリストは、`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスにリンクされたロールによって有効になっているすべてのアクセス許可を対象としています。

Amazon CloudFront

```
 {
  "Sid": "cloudfront",
  "Effect": "Allow",
  "Action": [
    "cloudfront:GetDistribution"
  ],
  "Resource": "arn:aws:cloudfront::*:distribution/*"
 }
```

AWS WAF

```
 {
  "Sid": "wafv2",
  "Effect": "Allow",
  "Action": [
    "wafv2:ListResourcesForWebACL",
    "wafv2:ListRuleGroups",
    "wafv2:ListAvailableManagedRuleGroups",
    "wafv2:GetRuleGroup",
    "wafv2:DescribeManagedRuleGroup",
    "wafv2:GetWebACL"
  ],
  "Resource": [
    "arn:aws:wafv2:*:*:global/rulegroup/*",
    "arn:aws:wafv2:*:*:regional/rulegroup/*",
    "arn:aws:wafv2:*:*:global/managedruleset/*",
    "arn:aws:wafv2:*:*:regional/managedruleset/*",
    "arn:aws:wafv2:*:*:global/webacl/*/*",
    "arn:aws:wafv2:*:*:regional/webacl/*/*",
    "arn:aws:apprunner:*:*:service/*",
    "arn:aws:cognito-idp:*:*:userpool/*",
    "arn:aws:ec2:*:*:verified-access-instance/*"
  ]
 }
```

AWS WAF クラシック

```
 {
  "Sid": "classicWaf",
  "Effect": "Allow",
  "Action": [
    "waf:ListWebACLs",
    "waf:GetWebACL"
  ],
  "Resource": [
    "arn:aws:waf::*:webacl/*",
    "arn:aws:waf-regional:*:*:webacl/*"
  ]
}
```

AWS Direct Connect

```
 {
  "Sid": "directconnect",
  "Effect": "Allow",
  "Action": [
    "directconnect:DescribeConnections",
    "directconnect:DescribeDirectConnectGatewayAssociations",
    "directconnect:DescribeDirectConnectGatewayAttachments",
    "directconnect:DescribeVirtualGateways"
  ],
  "Resource": [
    "arn:aws:directconnect::*:dx-gateway/*",
    "arn:aws:directconnect:*:*:dxcon/*",
    "arn:aws:directconnect:*:*:dxlag/*",
    "arn:aws:directconnect:*:*:dxvif/*"
  ]
 }
```

AWS Transit Gateway ルート

```
 {
  "Sid": "ec2Get",
  "Effect": "Allow",
  "Action": [
    "ec2:SearchTransitGatewayRoutes"
  ],
  "Resource": [
    "arn:aws:ec2:*:*:transit-gateway-route-table/*"
  ]
 }
```

AWS Network Firewall

```
 {
  "Sid": "networkFirewall",
  "Effect": "Allow",
  "Action": [
    "network-firewall:ListFirewalls",
    "network-firewall:ListFirewallPolicies",
    "network-firewall:ListRuleGroups",
    "network-firewall:DescribeFirewall",
    "network-firewall:DescribeFirewallPolicy",
    "network-firewall:DescribeRuleGroup"
  ],
  "Resource": [
    "arn:aws:network-firewall:*:*:*/*"
  ]
}
```

Amazon API Gateway

```
 {
   "Sid": "apiGatewayGetAPI",
   "Effect": "Allow",
   "Action": [
     "apigateway:GET"
   ],
  "Resource": [
    "arn:aws:apigateway:*::/restapis",
    "arn:aws:apigateway:*::/restapis/*",
    "arn:aws:apigateway:*::/apis",
    "arn:aws:apigateway:*::/apis/*",
    "arn:aws:apigateway:*::/tags/*",
    "arn:aws:apigateway:*::/vpclinks",
    "arn:aws:apigateway:*::/vpclinks/*"
  ]
 }
```

## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの作成
<a name="create-slr"></a>

サービスリンクロールを手動で作成する必要はありません。最初のネットワーク分析を実行すると、 AWS Shield Network Security Director がサービスにリンクされたロールを作成します。

このサービスリンクロールを削除した後で再度作成する必要が生じた場合は同じ方法でアカウントにロールを再作成できます。 AWS Shield ネットワークセキュリティディレクターのログ記録を有効にすると、 AWS Shield ネットワークセキュリティディレクターはサービスにリンクされたロールを再度作成します。

## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの編集
<a name="edit-slr"></a>

AWS Shield Network Security Director では、`NetworkSecurityDirectorServiceLinkedRolePolicy`サービスにリンクされたロールを編集することはできません。サービスリンクロールを作成すると、多くのエンティティによってロールが参照される可能性があるため、ロール名を変更することはできません。ただし、IAM を使用したロール記述の編集はできます。詳細については、「*IAM ユーザーガイド*」の「[サービスリンクロールの編集](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)」を参照してください。

## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールの削除
<a name="delete-slr"></a>

サービスリンクロールを必要とする機能やサービスが不要になった場合は、ロールを削除することをお勧めします。そうすることで、積極的にモニタリングまたは保守されていない未使用のエンティティを排除できます。ただし、手動で削除する前に、サービスリンクロールのリソースをクリーンアップする必要があります。

これにより、 リソースへのアクセス許可が誤って削除されないため、 AWS Shield ネットワークセキュリティディレクターのリソースが保護されます。

**注記**  
リソースを削除しようとしたときに AWS Shield ネットワークセキュリティディレクターサービスがロールを使用している場合、削除が失敗する可能性があります。その場合は、数分待ってからオペレーションを再試行してください。

**IAM を使用してサービスリンクロールを手動で削除するには**

`NetworkSecurityDirectorServiceLinkedRolePolicy` サービスにリンクされたロールを削除するには、IAM コンソール、IAM CLI、または IAM API を使用します。詳細については、*IAM ユーザーガイド*の「[サービスにリンクされたロールの削除](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)」を参照してください。

## AWS Shield ネットワークセキュリティディレクターのサービスにリンクされたロールでサポートされているリージョン
<a name="slr-regions"></a>

**注記**  
AWS Shield ネットワークセキュリティディレクターはパブリックプレビューリリースであり、変更される可能性があります。

AWS Shield Network Security Director は、以下のリージョンでサービスにリンクされたロールの使用をサポートし、これらのリージョンのリソースに関するデータのみを取得できます。


| リージョン名 | リージョン | 
| --- | --- | 
| 米国東部 (バージニア北部) | us–east–1 | 
| 欧州 (ストックホルム) | eu-north-1 | 
| アジアパシフィック (タイ) | ap-southeast-7 | 
| アフリカ (ケープタウン) | ap-south-1 | 
| 米国東部 (オハイオ) | us-east-2 | 
| アジアパシフィック (マレーシア) | ap-southeast-5 | 
| アジアパシフィック (東京) | ap-northeast-1 | 
| 米国西部 (オレゴン) | us-west-2 | 
| 欧州 (スペイン) | eu-south-2 | 
| 欧州 (アイルランド) | eu-west-1 | 
| 欧州 (フランクフルト) | eu-central-1 | 
| アジアパシフィック (香港) | ap-east-1 | 
| アジアパシフィック (シンガポール) | ap-southeast-1 | 
| アジアパシフィック (シドニー) | ap-southeast-2 |