Serviceverknüpfte Rolle für Global Accelerator - AWS Global Accelerator
Berechtigungen für serviceverknüpfte Rollen für Global AcceleratorErstellen der serviceverknüpften Rolle für Global AcceleratorBearbeiten der serviceverknüpften Rolle Global AcceleratorLöschen der serviceverknüpften Rolle für Global AcceleratorServiceverknüpfte RolleUnterstützte Regionen für serviceverknüpfte Rollen von Global Accelerator

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rolle für Global Accelerator

AWS Global Accelerator verwendet ein AWS Identity and Access Management (IAM)Service-verknüpfte -Rolle. Eine serviceverknüpfte Rolle ist ein spezieller Typ von IAM-Rolle, der direkt mit einem Service verknüpft ist. Serviceverknüpfte Rollen werden vom Service vordefiniert und beinhalten alle Berechtigungen, die dieser zum Aufrufen anderer AWS-Services in Ihrem Namen benötigt.

Global Accelerator verwendet die folgende IAM-serviceverknüpfte Rolle:

  • AWSServiceRoleForGlobalAccelerator— Global Accelerator verwendet diese Rolle, damit Global Accelerator Ressourcen erstellen und verwalten kann, die für die Erhaltung der Client-IP-Adressen erforderlich sind.

Global Accelerator erstellt automatisch eine Rolle namens AWSServiceRoleForGlobalAccelerator, wenn die Rolle zum ersten Mal zur Unterstützung eines Global Accelerator-API-Vorgangs erforderlich ist. Die Rolle „AWSServiceRoleForGlobalAccelerator“ ermöglicht es Global Accelerator, Ressourcen zu erstellen und zu verwalten, die für die Erhaltung der Client-IP-Adressen erforderlich sind. Diese Rolle ist für die Verwendung von Beschleunigern in Global Accelerator erforderlich. Der ARN für die Rolle „AWSServiceRoleForGlobalAccelerator“ sieht folgendermaßen aus:

arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator

Eine serviceverknüpfte Rolle vereinfacht das Einrichten und Verwenden von Global Accelerator, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Global Accelerator definiert die Berechtigungen seiner servicegebundenen Rolle. Nur Global Accelerator kann die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Die Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie müssen alle verknüpften Ressourcen des globalen Accelerators entfernen, bevor Sie eine serviceverknüpfte Rolle löschen können. Dies trägt zum Schutz Ihrer Global Accelerator-Ressourcen bei. Es wird sichergestellt wird, dass Sie keine serviceverknüpfte Rolle entfernen, die noch für den Zugriff auf aktive Ressourcen erforderlich ist.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist.

Berechtigungen für serviceverknüpfte Rollen für Global Accelerator

Global Accelerator verwendet eine serviceverknüpfte Rolle namens.AWSServiceRoleForGlobalAccelerator. In den folgenden Abschnitten werden die Berechtigungen für die Rolle beschrieben.

Berechtigungen von serviceverknüpften Rollen

Diese serviceverknüpfte Rolle ermöglicht es Global Accelerator, EC2 Elastic Network Interfaces und Sicherheitsgruppen zu verwalten und Fehler zu diagnostizieren.

Die serviceverknüpfte Rolle „AWSServiceRoleForGlobalAccelerator“ vertraut dem folgenden Service, um die Rolle zu übernehmen:

  • globalaccelerator.amazonaws.com

Mit der Rollenberechtigungsrichtlinie kann Global Accelerator die folgenden Aktionen für die angegebenen Ressourcen ausführen, wie in der Richtlinie dargestellt:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) die mit dem Global Accelerator verknüpfte Rolle löschen kann. Weitere Informationen finden Sie unter Berechtigungen für serviceverknüpfte Rollen im IAM-Benutzerhandbuch.

Erstellen der serviceverknüpften Rolle für Global Accelerator

Sie erstellen die serviceverknüpfte Rolle für Global Accelerator nicht manuell. Wenn Sie das erste Mal eine Rolle erstellen, erstellt der Service die Rolle automatisch für Sie. Wenn Sie Ihre Global Accelerator -Ressourcen entfernen und die serviceverknüpfte Rolle löschen, erstellt der Service die Rolle automatisch wieder, wenn Sie eine neue Accelerator erstellen.

Bearbeiten der serviceverknüpften Rolle Global Accelerator

Global Accelerator erlaubt Ihnen nicht, die serviceverknüpfte Rolle AWSServiceRoleForGlobalAccelerator zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle durch den Service nicht bearbeitet werden. Sie können jedoch die Beschreibung einer Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen der serviceverknüpften Rolle für Global Accelerator

Wenn Sie Global Accelerator nicht mehr benötigen, empfehlen wir, die serviceverknüpfte Rolle zu löschen. Auf diese Weise haben Sie keine ungenutzten Entitäten, die nicht aktiv überwacht oder verwaltet werden. Sie müssen jedoch die Global Accelerator-Ressourcen in Ihrem Konto bereinigen, bevor Sie die Rollen manuell löschen können.

Nachdem Sie die Beschleuniger deaktiviert und gelöscht haben, können Sie die serviceverknüpfte Rolle löschen. Weitere Informationen zum Löschen von Beschleunigern finden Sie unter Erstellen oder Aktualisieren eines Standard-Beschleunigers.

Anmerkung

Wenn Sie Ihre Accelerators deaktiviert und gelöscht haben, aber Global Accelerator die Aktualisierung nicht abgeschlossen hat, schlägt das Löschen der serviceverknüpften Rolle möglicherweise fehl. Wenn das passiert, warten Sie einige Minuten, und wiederholen Sie die Schritte zum Löschen der serviceverknüpften Rolle.

So löschen Sie die serviceverknüpfte Rolle für manuell

  1. Melden Sie sich bei der AWS-Managementkonsole an und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM Console Roles aus. Aktivieren Sie dann das Kontrollkästchen neben dem Rollennamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.

  3. Wählen Sie für Role actions oben auf der Seite Delete role aus.

  4. Überprüfen Sie im Bestätigungsdialogfeld die letzten Service-Zugriffsdaten, die zeigen, wann jede der ausgewählten Rollen zuletzt auf den AWS-Service zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie Yes, Delete aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.

  5. Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Aktualisierungen der servicegebundenen Rolle Global Accelerator (eine verwaltete AWS Richtlinie)

Zeigen Sie Details zu Aktualisierungen der dienstverknüpften Rolle für an, seit dieser Dienst mit der Verfolgung dieser Änderungen begonnen hat. Wenn Sie automatische Warnungen über Änderungen an dieser Seite erhalten, abonnieren Sie den RSS-Feed im AWS Global AcceleratorDokumentverlaufangezeigten.

Änderung Beschreibung Datum

AWSServiceRoleForGlobalAccelerator— Aktualisierte Richtlinie

Global Accelerator hat eine neue Berechtigung hinzugefügt, um Global Accelerator bei der Fehlerdiagnose zu unterstützen.

Global Accelerator verwendetec2:DescribeRegions, um die AWS Region zu ermitteln, in der sich ein Kunde befindet, wodurch Global Accelerator bei der Fehlerbehebung unterstützt werden kann.

 18. Mai 2021

Global Accelerator begann mit der Verfolgung von Änderungen

Global Accelerator begann mit der Verfolgung von Änderungen für seine verwalteten AWS Richtlinien.

 18. Mai 2021

Unterstützte Regionen für serviceverknüpfte Rollen von Global Accelerator

Global Accelerator unterstützt die Verwendung von serviceverknüpften Rollen in AWS Regionen, in denen Global Accelerator unterstützt wird.

Eine Liste der AWS Regionen, in denen Global Accelerator und andere Services derzeit unterstützt werden, finden Sie unter derAWS Regionentabelle.