Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Amazon FSx verwendet dienstbezogene Rollen AWS Identity and Access Management (IAM). Eine servicebezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Amazon FSx verknüpft ist. Servicebezogene Rollen sind von Amazon vordefiniert FSx und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle FSx erleichtert die Einrichtung von Amazon, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon FSx definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, FSx kann nur Amazon seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre FSx Amazon-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.
Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Services, die mit Services funktionieren. Suchen Sie in der IAM Spalte Serviceverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Servicebezogene Rollenberechtigungen für Amazon FSx
Amazon FSx verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForAmazonFSx— Diese führt bestimmte Aktionen in Ihrem Konto durch, z. B. das Erstellen von Elastic Network Interfaces für Ihre Dateisysteme in Ihrem VPC und das Veröffentlichen von Dateisystem- und Volume-Metriken in CloudWatch.
Aktualisierungen dieser Richtlinie finden Sie unter Ein mazonFSx ServiceRolePolicy
Details zu Berechtigungen
Details zu Berechtigungen
Die AWSServiceRoleForAmazonFSx Rollenberechtigungen werden durch die von A mazonFSx ServiceRolePolicy AWS verwaltete Richtlinie definiert. Der AWSServiceRoleForAmazonFSx hat die folgenden Berechtigungen:
Anmerkung
Das AWSServiceRoleForAmazonFSx wird von allen FSx Amazon-Dateisystemtypen verwendet; einige der aufgelisteten Berechtigungen gelten nicht FSx fürONTAP.
-
ds
— Ermöglicht Amazon, Anwendungen FSx in Ihrem Verzeichnis anzuzeigen, zu autorisieren und deren Autorisierung aufzuheben. AWS Directory Service -
ec2
— Ermöglicht AmazonFSx, Folgendes zu tun:Netzwerkschnittstellen, die mit einem FSx Amazon-Dateisystem verknüpft sind, anzeigen, erstellen und deren Zuordnung aufheben.
Zeigen Sie eine oder mehrere Elastic IP-Adressen an, die mit einem FSx Amazon-Dateisystem verknüpft sind.
Sehen Sie sich AmazonVPCs, Sicherheitsgruppen und Subnetze an, die mit einem FSx Amazon-Dateisystem verknüpft sind.
Um eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen zu ermöglichen, die mit a VPC verwendet werden können.
Erstellen Sie eine Berechtigung für einen AWS-autorisierten Benutzer, bestimmte Operationen an einer Netzwerkschnittstelle auszuführen.
-
cloudwatch
— Ermöglicht AmazonFSx, metrische Datenpunkte CloudWatch unter dem FSx Namespace AWS/zu veröffentlichen. -
route53
— Ermöglicht AmazonFSx, einen Amazon VPC mit einer privaten gehosteten Zone zu verknüpfen. -
logs
— Ermöglicht AmazonFSx, CloudWatch Log-Streams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer Auditprotokolle für den Dateizugriff auf ein Dateisystem FSx für Windows-Dateiserver an einen CloudWatch Logs-Stream senden. -
firehose
— Ermöglicht AmazonFSx, Amazon Data Firehose-Lieferstreams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer die Dateizugriffs-Audit-Logs für ein Amazon FSx for Windows File Server-Dateisystem in einem Amazon Data Firehose-Lieferstream veröffentlichen.
{
"Version": "2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
Alle Aktualisierungen dieser Richtlinie werden unter beschriebenFSxAktualisierungen der AWS verwalteten Richtlinien durch Amazon.
Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAM Benutzerhandbuch.
Eine servicebezogene Rolle für Amazon erstellen FSx
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie ein Dateisystem im AWS Management Console, dem oder dem erstellen IAMCLI, FSx erstellt Amazon die IAM API serviceverknüpfte Rolle für Sie.
Wichtig
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter Eine neue Rolle wurde in „Mein IAM Konto“ angezeigt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie ein Dateisystem erstellen, FSx erstellt Amazon die serviceverknüpfte Rolle erneut für Sie.
Bearbeitung einer serviceverknüpften Rolle für Amazon FSx
Amazon FSx erlaubt Ihnen nicht, die AWSServiceRoleForAmazonFSx serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mithilfe IAM von bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Amazon FSx
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre Dateisysteme und Backups löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
Anmerkung
Wenn der FSx Amazon-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM
Verwenden Sie die IAM Konsole, den oder IAMCLI, IAM API um die AWSServiceRoleForAmazonFSx dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.
Unterstützte Regionen für Rollen im FSx Zusammenhang mit Amazon Services
Amazon FSx unterstützt die Verwendung von Rollen im Zusammenhang mit Services in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS -Regionen und Endpunkte.