Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des rôles liés à un service pour Amazon EFS
Amazon Elastic File System utilise un rôle lié à un serviceAWS Identity and Access Management (IAM). Le rôle lié à un service Amazon EFS est un type unique de rôle IAM lié directement à Amazon EFS. Le rôle lié à un service Amazon EFS comprend les autorisations requises par le service pour appeler d'autresAWS services en votre nom.
Un rôle lié à un service simplifie la configuration d'Amazon EFS, car vous n'avez pas besoin d'ajouter manuellement les autorisations requises. Amazon EFS définit les autorisations de son rôle lié à un service et seul Amazon EFS peut endosser son rôle. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer le rôle lié à un service Amazon EFS uniquement après la suppression préalable du rôle lié à un service Amazon EFS uniquement après la suppression préalable du rôle lié au service Amazon EFS. Vos ressources Amazon EFS sont ainsi protégées, car vous ne pouvez pas supprimer involontairement l'autorisation d'accéder aux ressources.
Les rôles liés à un service permettent aussi que tous les appels d'API soient visibles via AWS CloudTrail. Cela facilite le suivi et les exigences d'audit, car vous pouvez suivre toutes les actions exécutées par Amazon EFS en votre nom. Pour plus d'informations, veuillez consulter Entrées de journal pour les rôles EFS liés à un service.
Autorisations du rôle lié à un service pour Amazon EFS
Amazon EFS utilise le rôle lié au service nomméAWSServiceRoleForAmazonElasticFileSystem pour permettre à Amazon EFS d'appeler et de gérerAWS des ressources pour le compte de vos systèmes de fichiers EFS.
Le rôle lié à un service AWSServiceRoleForAmazonElasticFileSystem approuve les services suivants pour endosser le rôle :
-
elasticfilesystem.amazonaws.com
La stratégie d'autorisations liée au rôle permet à Amazon EFS de réaliser les actions incluses dans la définition de la stratégie JSON :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup-storage:MountCapsule", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaceAttribute", "ec2:ModifyNetworkInterfaceAttribute", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "backup:CreateBackupVault", "backup:PutBackupVaultAccessPolicy" ], "Resource": [ "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault" ] }, { "Effect": "Allow", "Action": [ "backup:CreateBackupPlan", "backup:CreateBackupSelection" ], "Resource": [ "arn:aws:backup:*:*:backup-plan:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "backup.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup" ], "Condition": { "StringLike": { "iam:PassedToService": "backup.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration" ], "Resource": "*" } ] }
Note
Vous devez configurer manuellement les autorisations IAMAWS KMS lors de la création d'un nouveau système de fichiers Amazon EFS chiffré au repos. Pour en savoir plus, consultez Chiffrement de données au repos.
Création d'un rôle lié à un service pour Amazon EFS
Vous devez configurer les autorisations de manière à permettre à une entité IAM (telle qu'un utilisateur, groupe ou rôle) de créer un rôle lié à un service. Pour ce faire, ajoutez l'iam:CreateServiceLinkedRoleautorisation à une entité IAM, comme illustré dans l'exemple suivant.
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "elasticfilesystem.amazonaws.com" ] } } }
Pour plus d'informations, consultez Autorisations de rôles liés à un service dans le Guide de l'utilisateur IAM.
Vous n'avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS dans laAWS Management ConsoleAWS CLI, ou l'AWSAPI, Amazon EFS crée automatiquement le rôle lié au service.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS, Amazon EFS recrée automatiquement le rôle lié au service.
Modification d'un rôle lié à un service pour Amazon EFS
Amazon EFS ne vous permet pas de modifier le rôleAWSServiceRoleForAmazonElasticFileSystem lié à un service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide d'IAM. Pour plus d'informations, consultez Editing a Service-Linked Role (Modification d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.
Suppression d'un rôle lié à un service pour Amazon EFS
Si vous n'avez plus besoin d'utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n'avez aucune entité inutilisée qui n'est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Note
Si le service Amazon EFS utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer les ressources Amazon EFS utilisées parAWSServiceRoleForAmazonElasticFileSystem
Procédez comme suit pour supprimer les ressources Amazon EFS utilisées parAWSServiceRoleForAmazonElasticFileSystem. Pour la procédure détaillée, reportez-vous à la sectionNettoyez les ressources et protégez votre AWS compte.
-
Sur votre instance Amazon EC2, démontez le système de fichiers Amazon EFS.
-
Supprimez le système de fichiers Amazon EFS.
-
Supprimez le groupe de sécurité personnalisé du système de fichiers.
Avertissement
Si vous avez utilisé le groupe de sécurité par défaut pour votre Virtual Private Cloud (VPC), ne le supprimez pas.
Pour supprimer manuellement le rôle lié à un service à l'aide d'IAM
Utilisez la console IAM, l'AWS CLI ou l'API AWS pour supprimer le rôle lié à un service AWSServiceRoleForAmazonElasticFileSystem. Pour plus d'informations, veuillez consulter Deleting a Service-Linked Role (Suppression d'un rôle lié à un service) dans le Guide de l'utilisateur IAM.
