Uso de roles vinculados a servicios para Amazon FSx - FSx para Lustre
Permisos de roles vinculados a servicios para Amazon FSxCreación de un rol vinculado a un servicio para Amazon FSxEdición de un rol vinculado a servicios para Amazon FSxEliminación de un rol vinculado a un servicio para Amazon FSxRegiones admitidas para los roles vinculados al servicio de Amazon FSx

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Amazon FSx

Amazon FSx utiliza funciones vinculadas a AWS Identity and Access Management servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon FSx. Amazon FSx predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio necesita para llamar a otros AWS servicios en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon FSx, porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon FSx define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon FSx puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon FSx, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que admiten roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Roles vinculados a servicios. Seleccione una opción con un enlace para ver la documentación sobre el rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para Amazon FSx

Amazon FSx utiliza dos funciones vinculadas a servicios denominadas AWSServiceRoleForAmazonFSx y AWSServiceRoleForFSxS3Access_fs-01234567890 que realizan determinadas acciones en su cuenta. Algunos ejemplos de estas acciones son la creación de interfaces de red elásticas para sus sistemas de archivos en su VPC y el acceso a su repositorio de datos en un bucket de Amazon S3. Para AWSServiceRoleForFSxS3Access_fs-01234567890, este rol vinculado a un servicio se crea para cada sistema de archivos Amazon FSx para Lustre que cree y que esté vinculado a un bucket de S3.

AWSServiceRoleForAmazonFSx detalles de permisos

AWSServiceRoleForAmazonFSxEn efecto, la política de permisos de roles permite a Amazon FSx realizar las siguientes acciones administrativas en nombre del usuario en todos los recursos aplicables AWS :

Para ver las actualizaciones de esta política, consulte AmazonF SxServiceRolePolicy

nota

Lo AWSServiceRoleForAmazonFSx utilizan todos los tipos de sistemas de archivos de Amazon FSx; algunos de los permisos enumerados no se aplican a FSx for Lustre.

  • ds— Permite a Amazon FSx ver, autorizar y desautorizar las aplicaciones de su directorio. AWS Directory Service

  • ec2: permite a Amazon FSx realizar lo siguiente:

    • Ver, crear y desasociar las interfaces de red asociadas a un sistema de archivos Amazon FSx.

    • Ver una o varias direcciones IP elásticas asociadas a un sistema de archivos de Amazon FSx.

    • Ver las VPC de Amazon, los grupos de seguridad y las subredes asociadas a un sistema de archivos de Amazon FSx.

    • Proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una VPC.

    • Cree un permiso para que un usuario AWS autorizado realice determinadas operaciones en una interfaz de red.

  • cloudwatch— Permite a Amazon FSx publicar puntos de datos métricos en el espacio de nombres CloudWatch AWS/FSx.

  • route53: permite que Amazon FSx asocie una Amazon VPC con una zona alojada privada.

  • logs— Permite a Amazon FSx describir y escribir en los flujos de registro de CloudWatch Logs. Esto permite a los usuarios enviar los registros de auditoría de acceso a los archivos de un sistema de archivos FSx for Windows File Server a CloudWatch una secuencia de registros.

  • firehose— Permite a Amazon FSx describir y escribir en las transmisiones de entrega de Amazon Data Firehose. Esto permite a los usuarios publicar los registros de auditoría de acceso a los archivos de un sistema de archivos FSx for Windows File Server en una transmisión de entrega de Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Todas las actualizaciones de esta política están detalladas en Amazon FSx actualiza las políticas gestionadas AWS.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

AWSServiceRoleForFSxS3Access detalles de permisos

En efectoAWSServiceRoleForFSxS3Access_file-system-id, la política de permisos de funciones permite a Amazon FSx realizar las siguientes acciones en un bucket de Amazon S3 que aloja el repositorio de datos de un sistema de archivos Amazon FSx for Lustre.

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutObject

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Amazon FSx

No necesita crear manualmente un rol vinculado a servicios. Al crear un sistema de archivos en la AWS Management Console AWS CLI, la o la AWS API, Amazon FSx crea automáticamente el rol vinculado al servicio.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un sistema de archivos, Amazon FSx vuelve a crear el rol vinculado al servicio por usted.

Edición de un rol vinculado a servicios para Amazon FSx

Amazon FSx no le permite editar estas funciones vinculadas a servicios. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon FSx

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.

nota

Si el servicio de Amazon FSx utiliza el rol al intentar eliminar los recursos, se podría generar un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado al AWSServiceRoleForAmazonFSx servicio. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon FSx

Amazon FSx admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Regiones y puntos de conexión de AWS.