Serviceverknüpfte Rollen für AWS Direct Connect - AWS Direct Connect
Dienstbezogene Rollenberechtigungen für AWS Direct ConnectErstellen einer dienstbezogenen Rolle für AWS Direct ConnectBearbeiten einer serviceverknüpften Rolle für AWS Direct ConnectLöschen einer serviceverknüpften Rolle für AWS Direct ConnectUnterstützte Regionen für AWS Direct Connect dienstverknüpfte Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rollen für AWS Direct Connect

AWS Direct Connect verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, mit dem direkt verknüpft ist. IAM AWS Direct Connect Mit Diensten verknüpfte Rollen sind vordefiniert AWS Direct Connect und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle AWS Direct Connect erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Direct Connect definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Direct Connect kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre AWS Direct Connect Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte Dienstverknüpfte Rolle nach den Diensten, für die Ja angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für AWS Direct Connect

AWS Direct Connect verwendet eine dienstverknüpfte Rolle mit dem Namen. AWSServiceRoleForDirectConnect Auf diese Weise können AWS Direct Connect Sie die in MACSec AWS Secrets Manager Ihrem Namen gespeicherten Geheimnisse abrufen.

Die serviceverknüpfte Rolle AWSServiceRoleForDirectConnect vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • directconnect.amazonaws.com

Die serviceverknüpfte Rolle AWSServiceRoleForDirectConnect verwendet die verwaltete Richtlinie AWSDirectConnectServiceRolePolicy.

Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Damit die AWSServiceRoleForDirectConnect dienstverknüpfte Rolle erfolgreich erstellt werden kann, muss die IAM Identität, die Sie AWS Direct Connect mit verwenden, über die erforderlichen Berechtigungen verfügen. Um die erforderlichen Berechtigungen zu gewähren, fügen Sie der IAM Identität die folgende Richtlinie hinzu.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "directconnect.amazonaws.com"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:GetRole",
            "Effect": "Allow",
            "Resource": "*"
       }
    ]
}

Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Berechtigungen für dienstbezogene Rollen.

Erstellen einer dienstbezogenen Rolle für AWS Direct Connect

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. AWS Direct Connect erstellt die serviceverknüpfte Rolle für Sie. Wenn Sie den associate-mac-sec-key Befehl ausführen, AWS erstellt es eine dienstbezogene Rolle, mit der AWS Direct Connect Sie die MACsec Geheimnisse abrufen können, die in AWS Secrets Manager Ihrem Namen in der AWS Management Console, dem oder dem AWS CLI gespeichert sind. AWS API

Wichtig

Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter Eine neue Rolle wurde in „Mein IAM Konto“ angezeigt.

Wenn Sie diese mit dem Dienst verknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dieselbe Vorgehensweise verwenden, um die Rolle in Ihrem Konto neu zu erstellen. AWS Direct Connect erstellt die dienstbezogene Rolle erneut für Sie.

Sie können die IAM Konsole auch verwenden, um eine serviceverknüpfte Rolle mit dem AWS Direct Connect-Anwendungsfall zu erstellen. Erstellen Sie im AWS CLI oder im AWS API eine dienstverknüpfte Rolle mit dem directconnect.amazonaws.com Dienstnamen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer dienstbezogenen Rolle. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

Bearbeiten einer serviceverknüpften Rolle für AWS Direct Connect

AWS Direct Connect erlaubt es Ihnen nicht, die AWSServiceRoleForDirectConnect dienstbezogene Rolle zu bearbeiten. Nachdem Sie eine serviceverknüpfte Rolle erstellt haben, können Sie den Namen der Rolle nicht mehr ändern, da verschiedene Entitäten auf die Rolle verweisen könnten. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer serviceverknüpften Rolle für AWS Direct Connect

Sie müssen die Rolle AWSServiceRoleForDirectConnect nicht manuell löschen. Wenn Sie Ihre dienstverknüpfte Rolle löschen, müssen Sie alle zugehörigen Ressourcen löschen, die im AWS Secrets Manager Webdienst gespeichert sind. Die AWS Management Console, die oder die AWS CLI AWS API, AWS Direct Connect bereinigt die Ressourcen und löscht die dienstverknüpfte Rolle für Sie.

Sie können die IAM Konsole auch verwenden, um die dienstverknüpfte Rolle zu löschen. Sie müssen dafür zuerst die Ressourcen für Ihre serviceverknüpfte Rolle zuerst manuell bereinigen und können sie dann löschen.

Anmerkung

Wenn der AWS Direct Connect Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

Um AWS Direct Connect Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForDirectConnect

  1. Entfernen Sie die Zuordnung zwischen allen MACsec Schlüsseln und Verbindungen. Weitere Informationen finden Sie unter Entfernen Sie die Zuordnung zwischen einem MACsec geheimen Schlüssel und einer AWS Direct Connect Verbindung

  2. Löscht die Zuordnung zwischen allen MACsec Schlüsseln undLAGs. Weitere Informationen finden Sie unter Entfernen Sie die Zuordnung zwischen einem MACsec geheimen Schlüssel und einem AWS Direct Connect Endpunkt LAG

Um die mit dem Dienst verknüpfte Rolle manuell zu löschen, verwenden Sie IAM

Verwenden Sie die IAM Konsole, den oder AWS CLI, AWS API um die AWSServiceRoleForDirectConnect dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.

Unterstützte Regionen für AWS Direct Connect dienstverknüpfte Rollen

AWS Direct Connect unterstützt die Verwendung von dienstbezogenen Rollen in allen Bereichen, in AWS-Regionen denen die MAC Sicherheitsfunktion verfügbar ist. Weitere Informationen finden Sie unter AWS Direct Connect -Standorte.