Verwenden von serviceverknüpften Rollen für Amazon Neptune - Amazon Neptune
RollenberechtigungenErstellen einer serviceverknüpften RolleBearbeiten einer serviceverknüpften RolleLöschen einer serviceverknüpften Rolle

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon Neptune

Amazon Neptune verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine dienstbezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit Neptune verknüpft ist. Dienstbezogene Rollen sind von Neptune vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Wichtig

Für bestimmte Verwaltungsfunktionen verwendet Amazon Neptune Betriebstechnologie, die mit Amazon geteilt wird. RDS Dazu gehören die dienstbezogene Rolle und die Verwaltungsberechtigungen. API

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Neptune, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Neptune definiert die Berechtigungen seiner serviceverknüpften Rollen. Wenn nicht anders definiert, kann Neptune nur seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre Neptune-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM Diensten funktionieren. Suchen Sie in der Spalte Serviceverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Neptune

Neptune verwendet die AWSServiceRoleForRDS serviceverknüpfte Rolle, damit Neptune und Amazon AWS Dienste im Namen Ihrer RDS Datenbank-Instances aufrufen können. Die serviceverknüpfte Rolle AWSServiceRoleForRDS vertraut dem Service rds.amazonaws.com, sodass dieser die Rolle annehmen kann.

Die Rollenberechtigungsrichtlinie erlaubt Neptune die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:

  • Aktionen auf ec2:

    • AssignPrivateIpAddresses

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeInternetGateways

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcAttribute

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

    • UnassignPrivateIpAddresses

  • Aktionen auf sns:

    • ListTopic

    • Publish

  • Aktionen auf cloudwatch:

    • PutMetricData

    • GetMetricData

    • CreateLogStream

    • PullLogEvents

    • DescribeLogStreams

    • CreateLogGroup

Anmerkung

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Möglicherweise erhalten Sie die folgende Fehlermeldung:

Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.

Wenn Sie diesen Fehler erhalten, überprüfen Sie, ob die folgenden Berechtigungen aktiviert sind: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen einer serviceverknüpften Rolle für Neptune

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine Instance oder einen Cluster erstellen, erstellt Neptune die serviceverknüpfte Rolle für Sie.

Wichtig

Weitere Informationen finden Sie im Benutzerhandbuch unter Eine neue Rolle wurde in „Mein IAM Konto“ angezeigt. IAM

Wenn Sie diese serviceverknüpfte Rolle löschen und dann erneut erstellen müssen, können Sie die Rolle in Ihrem Konto mit demselben Verfahren neu anlegen. Neptune erstellt die serviceverknüpfte Rolle erneut für Sie, wenn Sie eine Instance oder einen Cluster erstellen.

Bearbeiten einer serviceverknüpften Rolle für Neptune

Neptune erlaubt Ihnen nicht, die serviceverknüpfte Rolle AWSServiceRoleForRDS zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.

Löschen einer serviceverknüpften Rolle für Neptune

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre Instances und Cluster löschen, bevor Sie die verknüpfte serviceverknüpfte Rolle löschen können.

Bereinigen einer serviceverknüpften Rolle vor dem Löschen

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM-Konsole Roles (Rollen) aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der Rolle AWSServiceRoleForRDS aus.

  3. Wählen Sie auf der Seite Summary für die ausgewählte Rolle die Registerkarte Access Advisor.

  4. Überprüfen Sie auf der Registerkarte Access Advisor die jüngsten Aktivitäten für die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob Neptune die Rolle AWSServiceRoleForRDS verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die -Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Wenn Sie die Rolle AWSServiceRoleForRDS entfernen möchten, müssen Sie zunächst alle Ihre Instances und Cluster löschen.

Löschen Ihrer kompletten Instances

Verwenden Sie eine dieser Verfahren, um Ihrer kompletten Instance zu löschen.

So löschen Sie eine Instance (Konsole)

  1. Öffnen Sie die RDS Amazon-Konsole unter https://console.aws.amazon.com/rds/.

  2. Wählen Sie im Navigationsbereich Instances aus.

  3. Wählen Sie in der Liste Instances die Instance aus, die Sie löschen möchten.

  4. Wählen Sie Instance-Aktionen und dann Löschen aus.

  5. Wenn Sie die Aufforderung Create final Snapshot? (Finalen Snapshot erstellen), wählen Sie Yes (Ja) oder No (Nein) aus.

  6. Wenn Sie im vorherigen Schritt Yes (Ja) gewählt haben, geben Sie unter Final snapshot name (Endgültiger Snapshot-Name) den Namen Ihres endgültigen DB-Snapshots ein.

  7. Wählen Sie Delete (Löschen).

So löschen Sie eine Instance (AWS CLI)

Siehe delete-db-instance in der AWS CLI -Befehlsreferenz.

So löschen Sie eine Instance (API)

Siehe DeleteDBInstance.

Löschen Ihrer kompletten Cluster

Verwenden Sie eines der folgenden Verfahren, um einen einzelnen Cluster zu löschen. Wiederholen Sie anschließend das Verfahren für jeden Ihrer Cluster.

So löschen Sie einen Cluster (Konsole)

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die Amazon Neptune Neptune-Konsole zu Hausehttps://console.aws.amazon.com/neptune/.

  2. Wählen Sie in der Liste Clusters den Cluster aus, den Sie löschen möchten.

  3. Wählen Sie Cluster Actions und dann Delete aus.

  4. Wählen Sie Löschen.

Löschen eines Clusters (CLI)

Siehe delete-db-cluster in der AWS CLI -Befehlsreferenz.

Löschen eines Clusters (API)

Siehe DeleteDBCluster

Sie können die IAM Konsole, die oder die verwenden, um die IAM CLI mit dem AWSServiceRoleForRDS Service IAM API verknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstverknüpften Rolle.