Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de funciones vinculadas a servicios para Amazon Neptune
Amazon Neptune usa AWS Identity and Access Management (IAM) roles vinculados a servicios. Un rol vinculado al servicio es un tipo de IAM rol único que está vinculado directamente a Neptune. Neptune predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en su nombre.
importante
Para determinadas funciones de administración, Amazon Neptune utiliza tecnología operativa que se comparte con Amazon. RDS Esto incluye el rol vinculado al servicio y los permisos de administración. API
Un rol vinculado a un servicio simplifica la configuración de Neptune porque ya no tendrá que añadir manualmente los permisos necesarios. Neptune define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Neptune puede asumir sus roles. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.
Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. De esta forma, se protegen los recursos de Neptune, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con IAM los que funcionan y busque los servicios con la opción Sí en la columna Función vinculada al servicio. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Permisos de roles vinculados a servicios de Neptune
Neptune usa la función AWSServiceRoleForRDS vinculada al servicio para permitir que Neptune y RDS Amazon AWS llamen a los servicios en nombre de sus instancias de base de datos. El rol vinculado a servicios AWSServiceRoleForRDS confía en el servicio rds.amazonaws.com para asumir el rol.
La política de permisos del rol permite que Neptune realice las siguientes acciones en los recursos especificados:
-
Acciones en
ec2:AssignPrivateIpAddressesAuthorizeSecurityGroupIngressCreateNetworkInterfaceCreateSecurityGroupDeleteNetworkInterfaceDeleteSecurityGroupDescribeAvailabilityZonesDescribeInternetGatewaysDescribeSecurityGroupsDescribeSubnetsDescribeVpcAttributeDescribeVpcsModifyNetworkInterfaceAttributeRevokeSecurityGroupIngressUnassignPrivateIpAddresses
-
Acciones en
sns:ListTopicPublish
-
Acciones en
cloudwatch:PutMetricDataGetMetricDataCreateLogStreamPullLogEventsDescribeLogStreamsCreateLogGroup
nota
Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Podría encontrarse con el siguiente mensaje de error:
Unable to create the resource. Verify that you have permission to create service linked role. Otherwise wait and try again later.
Si aparece este mensaje, asegúrese de que tiene los siguientes permisos habilitados:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }
Para obtener más información, consulte Permisos de roles vinculados a un servicio en la Guía del usuario. IAM
Creación de un rol vinculado a un servicio de Neptune
No necesita crear manualmente un rol vinculado a servicios. Al crear una instancia o un clúster, Neptune se encarga de crear el rol vinculado al servicio.
importante
Para obtener más información, consulte Apareció un nuevo rol en mi IAM cuenta en la Guía del IAMusuario.
Si elimina este rol vinculado a un servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una instancia o un clúster, Neptune se encarga de crear el rol vinculado al servicio de nuevo.
Modificación de un rol vinculado a un servicio de Neptune
Neptune no le permite editar el rol vinculado a servicios AWSServiceRoleForRDS. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizandoIAM. Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.
Eliminación de un rol vinculado a un servicio de Neptune
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a servicios, recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todas las instancias y clústeres para poder eliminar la función vinculada al servicio asociada.
Limpiar una función vinculada a un servicio antes de eliminar
Antes de poder eliminar un rol vinculado IAM a un servicio, primero debe confirmar que el rol no tiene sesiones activas y eliminar todos los recursos que utilice el rol.
Para comprobar si el rol vinculado al servicio tiene una sesión activa en la consola IAM
Inicie sesión en AWS Management Console y abra la IAM consola en. https://console.aws.amazon.com/iam/
En el panel de navegación de la IAM consola, selecciona Roles. A continuación, seleccione el nombre (no la casilla de verificación) del rol de
AWSServiceRoleForRDS.En la página Resumen del rol seleccionado, seleccione la pestaña Asesor de acceso.
-
En la pestaña Asesor de acceso, revise la actividad reciente del rol vinculado a servicios.
nota
Si no está seguro de si Neptune utiliza el rol
AWSServiceRoleForRDS, puede intentar eliminar el rol para comprobarlo. Si el servicio está utilizando el rol, este no podrá eliminarse y podrá ver las regiones en las que se está utilizando. Si el rol se está utilizando, debe esperar que la sesión finalice para poder eliminarlo. No se puede revocar la sesión de un rol vinculado a servicios.
Si desea quitar la función AWSServiceRoleForRDS, primero debe eliminar todos sus clústeres e instancias.
Eliminación de todas las instancias
Use alguno de estos procedimientos para eliminar cada una de sus instancias.
Para eliminar una instancia (consola)
-
Abre la RDS consola de Amazon en https://console.aws.amazon.com/rds/
. En el panel de navegación, seleccione Instances (Instancia[s]).
En la lista Instances, elija la instancia que desea eliminar.
Elija Instance actions y, a continuación, Delete.
Si aparece el mensaje Create final Snapshot? (¿Crear instantánea final?), elija Yes (Sí) o No.
Si eligió Yes (Sí) en el paso anterior, en Final snapshot name (Nombre de instantánea final) escriba el nombre de la instantánea final.
Elija Eliminar.
Para eliminar una instancia (AWS CLI)
Consulte delete-db-instance en la referencia de comandos de AWS CLI .
Para eliminar una instancia (API)
Consulte DeleteDBInstance.
Eliminación de todos los clústeres
Utilice uno de los siguientes procedimientos para eliminar un clúster y, a continuación, repita el procedimiento para cada uno de los clústeres.
Para eliminar un clúster (consola)
En la lista Clusters, elija el clúster que desea eliminar.
Elija Cluster Actions y, a continuación, Delete.
Elija Eliminar.
Para eliminar un clúster (CLI)
Consulte delete-db-cluster en la referencia de comandos de AWS CLI .
Para eliminar un clúster (API)
Consulte DeleteDBCluster
Puede usar la IAM consola IAMCLI, la o la IAM API para eliminar el rol vinculado al AWSServiceRoleForRDS servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM
