Verwenden von serviceverknüpften Rollen für Amazon RDS Amazon - Amazon Relational Database Service
Servicebezogene Rollenberechtigungen für Amazon RDS AmazonServicebezogene Rollenberechtigungen für Amazon Custom RDSServicebezogene Rollenberechtigungen für Amazon Beta RDSServicebezogene Rolle für Amazon Preview RDS

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon RDS Amazon

Amazon RDS Amazon verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine servicebezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Amazon RDS Amazon verknüpft ist. Servicebezogene Rollen sind von Amazon RDS Amazon vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Services in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle erleichtert die Nutzung von RDSAmazon , da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon RDS definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur RDSAmazon seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dadurch werden Ihre Amazon RDS Amazon geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.

Informationen zu anderen Diensten, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Services arbeiten, IAM und suchen Sie in der Spalte Serviceverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Servicebezogene Rollenberechtigungen für Amazon RDS Amazon

Amazon RDS verwendet die benannte serviceverknüpfte Rolle AWSServiceRoleForRDS , RDS damit Amazon AWS Dienste im Namen Ihrer aufrufen kann.

Die AWSServiceRoleForRDS serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • rds.amazonaws.com

Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonRDSServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt.

Weitere Informationen zu dieser Richtlinie, einschließlich des JSON Richtliniendokuments, finden Sie unter A mazonRDSService RolePolicy im Referenzhandbuch für AWS verwaltete Richtlinien.

Anmerkung

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:

Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.

Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Eine serviceverknüpfte Rolle für Amazon RDS Aurora erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen erstellen, erstellt Amazon RDS die serviceverknüpfte Rolle für Sie.

Wichtig

Wenn Sie den Amazon RDS Amazon vor dem 1. Dezember 2017 genutzt haben, als er begann, servicebezogene Rollen zu unterstützen, dann hat Amazon RDS die AWSServiceRoleForRDS Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle wurde in meinem AWS Konto angezeigt.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen erstellen, erstellt Amazon RDS die serviceverknüpfte Rolle erneut für Sie.

Bearbeitung einer serviceverknüpften Rolle für Amazon RDS Amazon

Amazon RDS erlaubt Ihnen nicht, die AWSServiceRoleForRDS serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer serviceverknüpften Rolle für Amazon RDS Amazon

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch all Ihre DB-Instances löschen, bevor Sie die serviceverknüpfte Rolle löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie eine serviceverknüpfte Rolle löschen können, müssen Sie zunächst bestätigen, dass die Rolle keine aktiven Sitzungen hat, und alle von der Rolle verwendeten Ressourcen entfernen. IAM

Um zu überprüfen, ob die mit dem Dienst verknüpfte Rolle über eine aktive Sitzung in der Konsole verfügt IAM

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM Konsole Rollen aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der AWSServiceRoleForRDS Rolle aus.

  3. Wählen Sie auf der Seite Summary (Zusammenfassung) für die ausgewählte Rolle die Registerkarte Access Advisor (Advisor aufrufen) aus.

  4. Überprüfen Sie auf der Registerkarte Access Advisor die jüngsten Aktivitäten für die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob RDSAmazon die AWSServiceRoleForRDS Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die AWS -Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Wenn Sie die AWSServiceRoleForRDS Rolle entfernen möchten, müssen Sie zuerst alle Ihre löschen.

Löschen aller Ihrer Instances

Verwenden Sie eine dieser Verfahren, um Ihrer kompletten Instance zu löschen.

So löschen Sie eine Instance (Konsole)

  1. Öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Databases (Datenbanken) aus.

  3. Wählen Sie die Instance aus, die Sie löschen möchten.

  4. Klicken Sie bei Actions auf Delete.

  5. Wenn Sie die Aufforderung Create final Snapshot? (Finalen Snapshot erstellen), wählen Sie Yes (Ja) oder No (Nein) aus.

  6. Wenn Sie im vorherigen Schritt Yes (Ja) gewählt haben, geben Sie unter Final snapshot name (Endgültiger Snapshot-Name) den Namen Ihres endgültigen DB-Snapshots ein.

  7. Wählen Sie Delete (Löschen).

So löschen Sie eine Instance (CLI)

Siehe delete-db-instance in der AWS CLI -Befehlsreferenz.

So löschen Sie eine Instance (API)

Siehe DeleteDBInstance in der RDSAPIAmazon-Referenz.

Sie können die IAM Konsole, die oder die verwenden IAMCLI, IAM API um die mit dem AWSServiceRoleForRDS Service verknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Servicebezogene Rollenberechtigungen für Amazon Custom RDS

Amazon RDS Custom verwendet die benannte serviceverknüpfte RolleAWSServiceRoleForRDSCustom, damit RDS Custom AWS Dienste im Namen Ihrer RDS DB-Ressourcen aufrufen kann.

Die AWSServiceRoleForRDSCustom servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • custom.rds.amazonaws.com

Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonRDSCustomServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt.

Das Erstellen, Bearbeiten oder Löschen der serviceverknüpften Rolle für RDS Custom funktioniert genauso wie für AmazonRDS. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: A mazonRDSCustom ServiceRolePolicy.

Anmerkung

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine servicebezogene Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:

Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.

Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSCustomServiceRolePolicy",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"custom.rds.amazonaws.com"
        }
    }
}

Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Servicebezogene Rollenberechtigungen für Amazon Beta RDS

Amazon RDS verwendet die benannte serviceverknüpfte RolleAWSServiceRoleForRDSBeta, um Amazon RDS zu ermöglichen, AWS Dienste im Namen Ihrer RDS DB-Ressourcen aufzurufen.

Die AWSServiceRoleForRDSBeta servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • rds.amazonaws.com

Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonRDSBetaServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: A mazonRDSBeta ServiceRolePolicy.

Anmerkung

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:

Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.

Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSBetaServiceRolePolicy",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"custom.rds.amazonaws.com"
        }
    }
}

Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.

Servicebezogene Rolle für Amazon Preview RDS

Amazon RDS verwendet die benannte serviceverknüpfte RolleAWSServiceRoleForRDSPreview, um Amazon RDS zu ermöglichen, AWS Dienste im Namen Ihrer RDS DB-Ressourcen aufzurufen.

Die AWSServiceRoleForRDSPreview servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • rds.amazonaws.com

Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonRDSPreviewServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: A mazonRDSPreview ServiceRolePolicy.

Anmerkung

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:

Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.

Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSPreviewServiceRolePolicy",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"custom.rds.amazonaws.com"
        }
    }
}

Weitere Informationen finden Sie unter Berechtigungen für dienstbezogene Rollen im IAMBenutzerhandbuch.