Permisos de roles vinculados a servicios Creación de un rol vinculado a un servicio () IAM Edición de la descripción de un rol vinculado a servicio Eliminar un rol vinculado a un servicio para Amazon Timestream for InfluxDB Regiones compatibles con Amazon Timestream para funciones vinculadas al servicio de InfluxDB

Uso de roles vinculados a servicios para Amazon Timestream para InfluxDB

Amazon Timestream para InfluxDB AWS Identity and Access Management utiliza funciones vinculadas a servicios (). IAM Un rol vinculado a un servicio es un tipo único de IAM rol que está vinculado directamente a un AWS servicio, como Amazon Timestream para InfluxDB. Amazon Timestream for InfluxDB predefine las funciones vinculadas al servicio de Amazon Timestream for InfluxDB. Incluyen todos los permisos que el servicio requiere para llamar a los servicios en nombre de sus instancias de base de datos. AWS

Un rol vinculado a un servicio facilita la configuración de Amazon Timestream para InfluxDB, ya que no es necesario añadir manualmente los permisos necesarios. Los roles ya existen en su AWS cuenta, pero están vinculados a los casos de uso de Amazon Timestream for InfluxDB y tienen permisos predefinidos. Solo Amazon Timestream para InfluxDB puede asumir estas funciones y solo estas funciones pueden usar la política de permisos predefinida. Las funciones se pueden eliminar únicamente después de eliminar primero sus recursos relacionados. Esto protege sus recursos de Amazon Timestream for InfluxDB porque no puede eliminar inadvertidamente los permisos necesarios para acceder a los recursos.

Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte Servicios con los que funcionan IAM y busque AWS los servicios que tengan la palabra Sí en la columna Función vinculada a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Contenido

Permisos de roles vinculados a servicios para Amazon Timestream para InfluxDB

Amazon Timestream para InfluxDB usa el rol vinculado al servicio AmazonTimestreamInfluxDBServiceRolePolicydenominado: Esta política permite a Timestream for InfluxDB administrar los recursos en su nombre según sea necesario para administrar sus clústeres. AWS

La política de permisos de roles AmazonTimestreamInflux DBServiceRolePolicy vinculados al servicio permite a Amazon Timestream for InfluxDB realizar las siguientes acciones en los recursos especificados:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DescribeNetworkStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfaces"
			],
			"Resource": "*"
		},
		{
			"Sid": "CreateEniInSubnetStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Sid": "CreateEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "CreateTagWithEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				},
				"StringEquals": {
					"ec2:CreateAction": [
						"CreateNetworkInterface"
					]
				}
			}
		},
		{
			"Sid": "ManageEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "PutCloudWatchMetricsStatement",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": [
						"AWS/Timestream/InfluxDB",
						"AWS/Usage"
					]
				}
			},
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ManageSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret",
				"secretsmanager:DeleteSecret"
			],
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:READONLY-InfluxDB-auth-parameters-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Para permitir que una entidad cree roles vinculados a un servicio IAM AmazonTimestreamInflux DBServiceRolePolicy

Agregue la siguiente declaración de política a los permisos de esa IAM entidad:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

Para permitir que una IAM entidad elimine funciones vinculadas a un AmazonTimestreamInflux DBServiceRolePolicy servicio

Agregue la siguiente declaración de política a los permisos de esa IAM entidad:


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

Como alternativa, puede utilizar una política AWS gestionada para proporcionar acceso completo a Amazon Timestream for InfluxDB.

Creación de un rol vinculado a un servicio () IAM

No necesita crear manualmente un rol vinculado a servicios. Al crear una instancia de base de datos, Amazon Timestream for InfluxDB crea automáticamente el rol vinculado al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear una instancia de base de datos, Amazon Timestream for InfluxDB vuelve a crear el rol vinculado al servicio automáticamente.

Edición de la descripción de un rol vinculado a un servicio para Amazon Timestream para InfluxDB

Amazon Timestream para InfluxDB no le permite editar el rol vinculado al servicio. AmazonTimestreamInflux DBServiceRolePolicy Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM

Edición de la descripción de un rol vinculado a un servicio (consola) IAM

Puede utilizar la IAM consola para editar la descripción de un rol vinculado a un servicio.

Para editar la descripción de un rol vinculado a un servicio (consola)

En el panel de navegación izquierdo de la IAM consola, selecciona Roles.
Seleccione el nombre del rol que desea modificar.
En el extremo derecho de Role description, seleccione Edit.
Ingrese una descripción nueva en el cuadro Save (Guardar).

Edición de la descripción de un rol vinculado a un servicio () IAM CLI

Puede utilizar IAM las operaciones del AWS Command Line Interface para editar la descripción de un rol vinculado a un servicio.

Para cambiar la descripción de un rol vinculado a un servicio () CLI

(Opcional) Para ver la descripción actual de un rol, utilice la operación AWS CLI forIAM. get-role
```
$ aws iam get-role --role-name AmazonTimestreamInfluxDBServiceRolePolicy
```
Utilice el nombre del rol, no elARN, para hacer referencia a los roles con las CLI operaciones. Por ejemplo, si un rol tiene lo siguienteARN:arn:aws:iam::123456789012:role/myrole, refiérase al rol comomyrole.

Para actualizar la descripción de un rol vinculado a un servicio, utilice la operación AWS CLI forIAM. update-role-description

Linux y macOS


$ aws iam update-role-description \
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy \
    --description "new description"

Windows


$ aws iam update-role-description ^
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy ^
    --description "new description"

Edición de la descripción de un rol vinculado a un servicio () IAM API

Puede utilizar el IAM API para editar la descripción de un rol vinculado a un servicio.

Para cambiar la descripción de un rol vinculado a un servicio () API

(Opcional) Para ver la descripción actual de un rol, utilice la operación IAM API GetRole.


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &AUTHPARAMS

Para actualizar la descripción de un rol, utilice la IAM API operación UpdateRoleDescription.


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &Description="New description"

Eliminar un rol vinculado a un servicio para Amazon Timestream for InfluxDB

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar el rol vinculado al servicio antes de eliminarlo.

Amazon Timestream para InfluxDB no elimina el rol vinculado al servicio por usted.

Limpiar un rol vinculado a un servicio

Antes de poder eliminar un rol vinculado IAM a un servicio, confirme primero que el rol no tiene recursos (clústeres) asociados.

Para comprobar si el rol vinculado al servicio tiene una sesión activa en la consola IAM

Inicie sesión en AWS Management Console y abra la IAM consola en. https://console.aws.amazon.com/iam/
En el panel de navegación izquierdo de la IAM consola, selecciona Roles. A continuación, elija el nombre (no la casilla de verificación) del AmazonTimestreamInflux DBServiceRolePolicy rol.
En la página Resumen del rol seleccionado, seleccione la pestaña Asesor de acceso.
En la pestaña Asesor de acceso, revise la actividad reciente del rol vinculado a servicios.

Eliminar un rol vinculado a un servicio (consola) IAM

Puede usar la IAM consola para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio (consola)

Inicie sesión en AWS Management Console y abra la IAM consola en. https://console.aws.amazon.com/iam/
En el panel de navegación izquierdo de la IAM consola, selecciona Roles. A continuación, seleccione la casilla junto al nombre del rol que desea eliminar, no el nombre ni la fila.
En Role actions (Acciones de rol) en la parte superior de la página, elija Delete role (Eliminar rol).
En la página de confirmación, revise los datos del servicio al que se accedió por última vez, que muestran cuándo accedió por última vez a un AWS servicio cada uno de los roles seleccionados. Esto lo ayuda a confirmar si el rol está actualmente activo. Si desea continuar, seleccione Yes, Delete para enviar la solicitud de eliminación del rol vinculado al servicio.
Observe las notificaciones de la IAM consola para supervisar el progreso de la eliminación del rol vinculado al servicio. Como la eliminación del rol IAM vinculado al servicio es asincrónica, una vez enviado el rol para su eliminación, la tarea de eliminación puede realizarse correctamente o fallar. Si la tarea no se realiza correctamente, puede seleccionar View details (Ver detalles) o View Resources (Ver recursos) desde las notificaciones para obtener información sobre el motivo por el que no se pudo eliminar el rol.

Eliminar un rol vinculado a un servicio () IAM CLI

Puede utilizar IAM las operaciones de AWS Command Line Interface para eliminar un rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio () CLI

Si no conoce el nombre del rol vinculado a servicios que desea eliminar, ingrese el siguiente comando. Este comando muestra las funciones y sus nombres de recursos de Amazon (ARNs) en su cuenta.
```
$ aws iam get-role --role-name role-name
```
Utilice el nombre del rol, no elARN, para hacer referencia a los roles relacionados con las CLI operaciones. Por ejemplo, si un rol tiene el ARNarn:aws:iam::123456789012:role/myrole, se hace referencia al rol comomyrole.
Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor deletion-task-id de la respuesta para comprobar el estado de la tarea de eliminación. Ingrese lo siguiente para enviar una solicitud de eliminación de un rol vinculado a servicios.
```
$ aws iam delete-service-linked-role --role-name role-name
```
Ingrese lo siguiente para verificar el estado de la tarea de eliminación.
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Eliminar un rol vinculado a un servicio () IAM API

Puede utilizar el para eliminar un IAM API rol vinculado a un servicio.

Para eliminar un rol vinculado a un servicio () API

Para enviar una solicitud de eliminación de un rol vinculado a un servicio, realice una llamada a DeleteServiceLinkedRole. En la solicitud, especifique un nombre de función.

Como los roles vinculados a servicios no se puede eliminar si están en uso o tienen recursos asociados, debe enviar una solicitud de eliminación. Esta solicitud puede denegarse si no se cumplen estas condiciones. Debe apuntar el valor DeletionTaskId de la respuesta para comprobar el estado de la tarea de eliminación.
Para comprobar el estado de la tarea de eliminación, realice una llamada a GetServiceLinkedRoleDeletionStatus. En la solicitud, especifique elDeletionTaskId.

El estado de la tarea de eliminación puede ser NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Si ocurre un error durante la eliminación, la llamada devuelve el motivo del error para que pueda resolver el problema.

Regiones compatibles con Amazon Timestream para funciones vinculadas al servicio de InfluxDB

Amazon Timestream para InfluxDB admite el uso de funciones vinculadas a servicios en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte puntos de conexión de servicio de AWS.

Aviso JavaScript está desactivado o no está disponible en su navegador.

Para utilizar la documentación de AWS, debe estar habilitado JavaScript. Para obtener más información, consulte las páginas de ayuda de su navegador.

Convenciones del documento

Controlar el acceso a una instancia de base de datos en un VPC

AWS políticas administradas