Uso de roles vinculados a servicios para Amazon EFS - Amazon Elastic File System
Permisos de roles vinculados a un servicio para Amazon EFS.Creación de un rol vinculado a un servicio para Amazon EFSEdición de un rol vinculado a un servicio para Amazon EFSEliminación de un rol vinculado a un servicio para Amazon EFS

Uso de roles vinculados a servicios para Amazon EFS

Amazon Elastic File System utiliza un rol vinculado a un servicio de AWS Identity and Access Management (IAM). El rol vinculado a un servicio de Amazon EFS es un tipo único de rol de IAM que está vinculado directamente a Amazon EFS. Un rol vinculado a servicios de Amazon EFS predefinido incluye permisos que requiere el servicio para llamar a otros Servicios de AWS en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon EFS porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon EFS define los permisos de sus roles vinculados a servicios y solo Amazon EFS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios de Amazon EFS después de eliminar sus sistemas de archivos de Amazon EFS. De esta forma, se protegen los recursos de Amazon EFS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

El rol vinculado a servicios permite que todas las llamadas a la API puedan verse a través de AWS CloudTrail. Esta ayuda a monitorizar y auditar los requisitos, ya que se puede hacer un seguimiento de todas las acciones que Amazon EFS realiza en su nombre. Para obtener más información, consulte Entradas de registro para roles vinculados al servicio EFS.

Permisos de roles vinculados a un servicio para Amazon EFS.

Amazon EFS utiliza el rol vinculado al servicio denominado AWSServiceRoleForAmazonElasticFileSystem para permitir que Amazon EFS llame y gestione los recursos de AWS en nombre de sus sistemas de archivos de EFS.

El rol vinculado a un servicio AWSServiceRoleForAmazonElasticFileSystem confía en que los siguientes servicios asuman el rol:

  • elasticfilesystem.amazonaws.com

La política de permisos del rol permite que Amazon EFS realice las acciones incluidas en el JSON de definición de política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration"
            ],
            "Resource": "*"
        }
    ]
}
nota

Debe configurar manualmente los permisos de IAM para AWS KMS cuando cree un nuevo sistema de archivos de Amazon EFS cifrado en reposo. Para obtener más información, consulte Cifrado de datos en reposo.

Creación de un rol vinculado a un servicio para Amazon EFS

Debe configurar los permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear o eliminar un rol vinculado a servicio. Para ello, añada el permiso iam:CreateServiceLinkedRole a una entidad de IAM como se muestra en el siguiente ejemplo.

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": [
                "elasticfilesystem.amazonaws.com"
            ]
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un destino de montaje o una configuración de replicación para el sistema de archivos de EFS en la AWS Management Console, la AWS CLI o la API de AWS, Amazon EFS se encarga de crear el rol vinculado a servicios en su nombre.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un destino de montaje o una configuración de replicación para el sistema de archivos de EFS, Amazon EFS crea el rol vinculado a servicios en su nombre.

Edición de un rol vinculado a un servicio para Amazon EFS

Amazon EFS no le permite editar el rol vinculado a un servicio de AWSServiceRoleForAmazonElasticFileSystem. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon EFS

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Amazon EFS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación de los recursos de Amazon EFS que utiliza AWSServiceRoleForAmazonElasticFileSystem

Complete los siguientes pasos para eliminar recursos de Amazon EFS que utiliza AWSServiceRoleForAmazonElasticFileSystem Para obtener el procedimiento detallado, consulte Limpie los recursos y proteja su cuenta de AWS

  1. Desmonte un sistema de archivos de Amazon EFS en su instancia de Amazon EC2.

  2. Elimine el sistema de archivos de Amazon EFS.

  3. Elimine el grupo de seguridad personalizado para el sistema de archivos.

    aviso

    Si utilizó el grupo de seguridad predeterminado para la nube privada virtual (VPC), no elimine ese grupo de seguridad.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado al servicio AWSServiceRoleForAmazonElasticFileSystem. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.