Verwenden von serviceverknüpften Rollen für Amazon Route 53 Resolver - Amazon Route 53
Berechtigungen von serviceverknüpften Rollen für ResolverErstellen einer serviceverknüpften Rolle für ResolverBearbeiten einer serviceverknüpften Rolle für ResolverLöschen einer serviceverknüpften Rolle für ResolverUnterstützte Regionen für serviceverknüpfte Resolver-Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon Route 53 Resolver

Route 53 Resolver verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Resolver verknüpft ist. Serviceverknüpfte Rollen werden von Resolver vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Resolver, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Resolver definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur Resolver die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dies schützt Ihre Resolver-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS services that work with IAM (-Services, die mit IAM funktionieren). Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Service-Linked Role (Serviceverknüpfte Rolle) angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer servicegebundenen Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Resolver

Resolver verwendet die serviceverknüpfte Rolle AWSServiceRoleForRoute53Resolver, um Abfrageprotokolle in Ihrem Namen bereitzustellen.

Die Richtlinie für Rollenberechtigungen erlaubt es Resolver, die folgenden Aktionen für alle Ihrer Ressourcen durchzuführen:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups",
        "s3:GetBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine servicegebundene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Resolver

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Resolver-Abfrageprotokollkonfigurationszuordnung in der Amazon-Route-53-Konsole, der AWS CLI- oder der AWS-API erstellen, erstellt Resolver die serviceverknüpfte Rolle für Sie.

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Funktionen verwendet. Wenn Sie den Resolver-Service vor dem 12. August 2020 verwendet haben, als dieser begann, servicebezogene Rollen zu unterstützen, hat Resolver die AWSServiceRoleForRoute53Resolver-Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle ist in meinem IAM-Konto erschienen.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie eine neue Konfigurationszuordnung für das Resolver-Abfrageprotokoll erstellen, wird die serviceverknüpfte AWSServiceRoleForRoute53Resolver-Rolle erneut für Sie erstellt.

Bearbeiten einer serviceverknüpften Rolle für Resolver

Resolver verhindert die Bearbeitung der AWSServiceRoleForRoute53Resolver serviceverknüpften Rolle. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer servicegebundenen Rolle im IAM-Benutzerhandbuch

Löschen einer serviceverknüpften Rolle für Resolver

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Anmerkung

Wenn der Resolver-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Löschen Sie die von AWSServiceRoleForRoute53Resolver verwendeten Resolver-Ressourcen wie folgt:

  1. Melden Sie sich bei der AWS Management Console-Managementkonsole an und öffnen Sie die Route-53-Konsole unter https://console.aws.amazon.com/route53/.

  2. Erweitern Sie das Route-53-Konsolenmenü. Wählen Sie oben links in der Konsole die drei horizontalen Balken ( Menu icon ) aus.

  3. Wählen Sie im Resolver-Menü die Option Abfrageprotokollierung.

  4. Aktivieren Sie das Kontrollkästchen neben dem Namen Ihrer Abfrageprotokollierungskonfiguration, und wählen Sie dann Löschen aus.

  5. Wählen Sie im Textfeld Konfiguration der Abfrageprotokollierung löschen die Option Protokollierungsabfragen beenden aus.

    Dadurch wird die Verbindung zwischen der Konfiguration und der VPC getrennt. Sie können die Zuordnung der Konfiguration der Abfrageprotokollierung auch programmgesteuert aufheben. Weitere Informationen finden Sie unter disassociate-resolver-query-log-config.

  6. Nachdem die Protokollierung von Abfragen beendet wurde, können Sie optional delete in das Feld eingeben und Löschen wählen, um die Abfrageprotokollierungskonfiguration zu löschen. Dies ist jedoch nicht erforderlich, um die von AWSServiceRoleForRoute53Resolververwendeten Ressourcen zu löschen.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, AWS CLI- oder AWS-API, um die AWSServiceRoleForRoute53Resolver serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für serviceverknüpfte Resolver-Rollen

Resolver unterstützt die Verwendung von serviceverknüpften Rollen nicht in allen Regionen, in denen der Service verfügbar ist. Sie können die Rolle AWSServiceRoleForRoute53Resolver in den folgenden Regionen verwenden.

Name der Region Regions-ID Support in Resolver
USA Ost (Nord-Virginia) us-east-1 Ja
USA Ost (Ohio) us-east-2 Ja
USA West (Nordkalifornien) us-west-1 Ja
USA West (Oregon) us-west-2 Ja
Asien-Pazifik (Mumbai) ap-south-1 Ja
Asien-Pazifik (Osaka) ap-northeast-3 Ja
Asien-Pazifik (Seoul) ap-northeast-2 Ja
Asien-Pazifik (Singapore) ap-southeast-1 Ja
Asien-Pazifik (Sydney) ap-southeast-2 Ja
Asien-Pazifik (Tokyo) ap-northeast-1 Ja
Kanada (Zentral) ca-central-1 Ja
Europa (Frankfurt) eu-central-1 Ja
Europa (Ireland) eu-west-1 Ja
Europa (London) eu-west-2 Ja
Europa (Paris) eu-west-3 Ja
Südamerika (São Paulo) sa-east-1 Ja
China (Peking) cn-north-1 Ja
China (Ningxia) cn-northwest-1 Ja
AWS GovCloud (US) us-gov-east-1 Ja
AWS GovCloud (US) us-gov-west-1 Ja