Uso de roles vinculados a servicios para Amazon FSx - FSx para Lustre
Permisos de roles vinculados a servicios para Amazon FSxCreación de un rol vinculado a un servicio para Amazon FSxEdición de un rol vinculado a servicios para Amazon FSxEliminación de un rol vinculado a un servicio para Amazon FSxRegiones admitidas para los roles vinculados al servicio de Amazon FSx

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Amazon FSx

Amazon FSx utiliza roles vinculados a un servicio de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon FSx. Los roles vinculados a servicios se encuentran predefinidos por Amazon FSx e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon FSx, porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon FSx define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon FSx puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon FSx, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Roles vinculados a servicios. Seleccione una opción con un enlace para ver la documentación sobre el rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para Amazon FSx

Amazon FSx usa dos roles vinculados a servicios denominados AWSServiceRoleForAmazonFSx y AWSServiceRoleForFSxS3Access_fs-01234567890 que realizan determinadas acciones en la cuenta. Algunos ejemplos de estas acciones son la creación de interfaces de red elásticas para sus sistemas de archivos en su VPC y el acceso a su repositorio de datos en un bucket de Amazon S3. Para AWSServiceRoleForFSxS3Access_fs-01234567890, este rol vinculado a un servicio se crea para cada sistema de archivos Amazon FSx para Lustre que cree y que esté vinculado a un bucket de S3.

Detalles de los permisos de AWSServiceRoleForAmazonFSx

Para AWSServiceRoleForAmazonFSx, la política de permisos de rol permite a Amazon FSx completar las siguientes acciones administrativas en nombre del usuario en todos los recursos de AWS aplicables:

Para obtener actualizaciones de esta política, consulte A mazonFSx ServiceRolePolicy

nota

Todos los sistemas de archivos de Amazon FSx utilizan el AWSServiceRoleForAmazonFSx; algunos de los permisos listados no son aplicables a FSx para Lustre.

  • ds: permite que Amazon FSx vea, autorice y desautorice las aplicaciones del directorio de AWS Directory Service.

  • ec2: permite a Amazon FSx realizar lo siguiente:

    • Ver, crear y desasociar las interfaces de red asociadas a un sistema de archivos Amazon FSx.

    • Ver una o varias direcciones IP elásticas asociadas a un sistema de archivos de Amazon FSx.

    • Ver las VPC de Amazon, los grupos de seguridad y las subredes asociadas a un sistema de archivos de Amazon FSx.

    • Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).

    • Crear un permiso para que un usuario autorizado por AWS realice determinadas operaciones en una interfaz de red.

  • cloudwatch: permite que Amazon FSx publique puntos de datos métricos en CloudWatch con el espacio de nombres AWS/FSX.

  • route53: permite que Amazon FSx asocie una Amazon VPC con una zona alojada privada.

  • logs: permite que Amazon FSx describa y escriba en los flujos de registro de los registros de CloudWatch. Esto da lugar a que los usuarios puedan enviar los registros de auditoría de acceso a los archivos de un sistema de archivos de FSx para Windows File Server a un flujo de registro de CloudWatch.

  • firehose: permite que Amazon FSx describa y escriba en flujos de entrega de Amazon Data Firehose. Esto es para que los usuarios puedan publicar los registros de auditoría de acceso de un sistema de archivos de FSx para Windows File Server a un flujo de entrega de Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Todas las actualizaciones de esta política están detalladas en Amazon FSx actualizaciones de las políticas AWS gestionadas.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Detalles de los permisos AWSServiceRoleForFSxS3Access

Para AWSServiceRoleForFSxS3Access_file-system-id, la política de permisos de rol permite a Amazon FSx realizar las siguientes acciones en un bucket de Amazon S3 que aloja el repositorio de datos de un sistema de archivos de Amazon FSx para Lustre.

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutObject

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Amazon FSx

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un sistema de archivo en la AWS Management Console, la AWS CLI o la API de AWS, Amazon FSx se encarga de crear el rol vinculado a servicios en su nombre.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un sistema de archivos, Amazon FSx vuelve a crear el rol vinculado al servicio por usted.

Edición de un rol vinculado a servicios para Amazon FSx

Amazon FSx no le permite editar estos roles vinculados a servicios. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon FSx

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.

nota

Si el servicio de Amazon FSx utiliza el rol al intentar eliminar los recursos, se podría generar un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola, la CLI o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForAmazonFSx. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon FSx

Amazon FSx admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Regiones y puntos de conexión de AWS.