Uso de roles vinculados a servicios para Amazon FSx - FSx para ONTAP
Permisos de roles vinculados a servicios para Amazon FSxCreación de un rol vinculado a un servicio para Amazon FSxEdición de un rol vinculado a servicios para Amazon FSxEliminación de un rol vinculado a un servicio para Amazon FSxRegiones admitidas para los roles vinculados al servicio de Amazon FSx

Uso de roles vinculados a servicios para Amazon FSx

Amazon FSx utiliza roles vinculados a un servicio de AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a Amazon FSx. Los roles vinculados a servicios se encuentran predefinidos por Amazon FSx e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de Amazon FSx, porque ya no tendrá que agregar manualmente los permisos requeridos. Amazon FSx define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Amazon FSx puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma, se protegen los recursos de Amazon FSx, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información sobre otros servicios que son compatibles con los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a servicios. Seleccione una opción con un enlace para ver la documentación sobre el rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para Amazon FSx

Amazon FSx utiliza el rol vinculado al servicio denominado AWSServiceRoleForAmazonFSx, que realiza ciertas acciones en su cuenta, como crear Elastic Network Interfaces para sus sistemas de archivos en su VPC y publicar métricas de sistemas de archivos y volúmenes en CloudWatch.

Para obtener actualizaciones de esta política, consulte AmazonFSxServiceRolePolicy (Política de rol de servicio de Amazon FSx)

Detalles de los permisos

Detalles de los permisos

Los permisos del rol AWSServiceRoleForAmazonFSx se definen mediante la política administrada por AWS AmazonFSxServiceRolePolicy. AWSServiceRoleForAmazonFSx tiene los siguientes permisos:

nota

Todos los sistemas de archivos de Amazon FSx utilizan AWSServiceRoleForAmazonFSx; algunos de los permisos listados no son aplicables a FSx para ONTAP.

  • ds: permite que Amazon FSx vea, autorice y desautorice las aplicaciones del directorio de AWS Directory Service.

  • ec2: permite a Amazon FSx realizar lo siguiente:

    • Ver, crear y desasociar las interfaces de red asociadas a un sistema de archivos Amazon FSx.

    • Ver una o varias direcciones IP elásticas asociadas a un sistema de archivos de Amazon FSx.

    • Ver las VPC de Amazon, los grupos de seguridad y las subredes asociadas a un sistema de archivos de Amazon FSx.

    • Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).

    • Crear un permiso para que un usuario autorizado por AWS realice determinadas operaciones en una interfaz de red.

  • cloudwatch: permite que Amazon FSx publique puntos de datos métricos en CloudWatch con el espacio de nombres AWS/FSX.

  • route53: permite que Amazon FSx asocie una Amazon VPC con una zona alojada privada.

  • logs: permite que Amazon FSx describa y escriba en los flujos de registro de los registros de CloudWatch. Esto da lugar a que los usuarios puedan enviar los registros de auditoría de acceso a los archivos de un sistema de archivos de FSx para Windows File Server a un flujo de registro de CloudWatch.

  • firehose: permite que Amazon FSx describa y escriba en flujos de entrega de Amazon Data Firehose. Esto es para que los usuarios publiquen los registros de auditoría de acceso a los archivos de un sistema de archivos de Amazon FSx para Windows File Server en un flujo de entrega de Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Todas las actualizaciones de esta política están detalladas en Las actualizaciones de Amazon FSx a las políticas administradas de AWS.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Amazon FSx

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un sistema de archivo en la AWS Management Console, la CLI de IAM o la API de IAM, Amazon FSx se encarga de crear el rol vinculado a servicios en su nombre.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un sistema de archivos, Amazon FSx vuelve a crear el rol vinculado al servicio por usted.

Edición de un rol vinculado a servicios para Amazon FSx

Amazon FSx no permite editar el rol vinculado a un servicio AWSServiceRoleForAmazonFSx. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon FSx

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.

nota

Si el servicio de Amazon FSx utiliza el rol al intentar eliminar los recursos, se podría generar un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Eliminación manual del rol vinculado a servicios mediante IAM

Utilice la consola, la CLI o la API de IAM para eliminar el rol vinculado al servicio AWSServiceRoleForAmazonFSx. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Amazon FSx

Amazon FSx admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Regiones y puntos de conexión de AWS.