Utilisation de rôles liés à un service pour MemoryDB - Amazon MemoryDB
Autorisations de rôles liés à un serviceCréation d'un rôle lié à un service (IAM)Modification de la description d'un rôle lié à un serviceSupprimer un rôle lié à un service pour MemoryDB

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour MemoryDB

MemoryDB utilise AWS Identity and Access Management (IAM) des rôles liés à un service. Un rôle lié à un service est un type unique de IAM rôle directement lié à un AWS service, tel que MemoryDB. Les rôles liés au service MemoryDB sont prédéfinis par MemoryDB. Ils comprennent toutes les autorisations requises par le service pour appeler des services AWS au nom de vos clusters.

Un rôle lié à un service facilite la configuration de MemoryDB car il n'est pas nécessaire d'ajouter manuellement les autorisations nécessaires. Les rôles existent déjà dans votre AWS compte, mais ils sont liés à des cas d'utilisation de MemoryDB et disposent d'autorisations prédéfinies. Seul MemoryDB peut assumer ces rôles, et seuls ces rôles peuvent utiliser la politique d'autorisation prédéfinie. Vous pouvez supprimer les rôles uniquement après la suppression préalable de leurs ressources connexes. Cela protège vos ressources MemoryDB car vous ne pouvez pas supprimer par inadvertance les autorisations nécessaires pour accéder aux ressources.

Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services compatibles avec IAM et recherchez les services dont la valeur est Oui dans la colonne Rôle lié au service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.

Autorisations de rôle liées à un service pour MemoryDB

MemoryDB utilise le rôle lié à un service nommé AWSServiceRoleForMemoryDB— Cette politique permet à MemoryDB de gérer les AWS ressources en votre nom selon les besoins de gestion de vos clusters.

La politique d'autorisation des rôles AWSServiceRoleForMemoryDB liés au service permet à MemoryDB d'effectuer les actions suivantes sur les ressources spécifiées :

{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "CreateMemoryDBTagsOnNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateTags"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:CreateAction": "CreateNetworkInterface"
                    },
                    "ForAllValues:StringEquals": {
                        "aws:TagKeys": [
                            "AmazonMemoryDBManaged"
                        ]
                    }
                }
            },
            {   
                "Sid": "CreateNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateNetworkInterface"
                ],
                "Resource": [
                    "arn:aws:ec2:*:*:network-interface/*",
                    "arn:aws:ec2:*:*:subnet/*",
                    "arn:aws:ec2:*:*:security-group/*"
                ]
            },
            {
                "Sid": "DeleteMemoryDBTaggedNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:ResourceTag/AmazonMemoryDBManaged": "true"
                    }
                }
            },
            {
                "Sid": "DeleteNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:security-group/*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeSecurityGroups",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs"
                ],
                "Resource": "*"
            },
            {
                "Sid": "PutCloudWatchMetricData",
                "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/MemoryDB"
                    }
                }
            },
	      {
	          "Sid": "ReplicateMemoryDBMultiRegionClusterData",
		    "Effect": "Allow",
		    "Action": [
			      "memorydb:ReplicateMultiRegionClusterData"
		    ],
		    "Resource": "arn:aws:memorydb:*:*:cluster/*"
 		}
          ]
    }

Pour de plus amples informations, veuillez consulter AWS politique gérée : M emoryDBService RolePolicy.

Pour autoriser une IAM entité à créer des rôles liés à un AWSServiceRoleForMemoryDB service

Ajoutez la déclaration de stratégie suivante aux autorisations de cette entité IAM :

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

Pour autoriser une IAM entité à supprimer des rôles liés à un AWSServiceRoleForMemoryDB service

Ajoutez la déclaration de stratégie suivante aux autorisations de cette entité IAM :

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

Vous pouvez également utiliser une politique AWS gérée pour fournir un accès complet à MemoryDB.

Création d'un rôle lié à un service (IAM)

Vous pouvez créer un rôle lié à un service à l'aide de la IAM consoleCLI, ou. API

Création d'un rôle lié à un service (console IAM)

Vous pouvez utiliser la console IAM pour créer un rôle lié à un service.

Pour créer un rôle lié à un service (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation gauche de la IAM console, sélectionnez Rôles. Ensuite, choisissez Create new role (Créer un nouveau rôle).

  3. Sous Sélectionner un type d’entité de confiance, choisissez AWS Service.

  4. Sous Ou sélectionnez un service pour afficher ses cas d'utilisation, choisissez MemoryDB.

  5. Sélectionnez Next: Permissions (Étape suivante : autorisations).

  6. Sous Policy name (Nom de la politique), notez que la MemoryDBServiceRolePolicy est nécessaire pour ce rôle. Choisissez Suivant : balises.

  7. Notez que les balises ne sont pas prises en charge pour les rôles liés à un service. Choisissez Next: Review (Suivant : vérifier).

  8. (Facultatif) Dans le champ Description du rôle, modifiez la description du nouveau rôle lié à un service.

  9. Passez en revue les informations du rôle, puis choisissez Créer un rôle.

Création d'un rôle lié à un service () IAM CLI

Vous pouvez utiliser IAM les opérations du AWS Command Line Interface pour créer un rôle lié à un service. Ce rôle peut inclure la politique d'approbation et les politiques en ligne dont le service a besoin pour endosser le rôle.

Pour créer un rôle lié à un service (CLI)

Utilisez l'opération suivante :

$ aws iam create-service-linked-role --aws-service-name memorydb.amazonaws.com

Création d'un rôle lié à un service () IAM API

Vous pouvez utiliser le IAM API pour créer un rôle lié à un service. Ce rôle peut contenir la politique d'approbation et les politiques en ligne dont le service a besoin pour endosser le rôle.

Pour créer un rôle lié à un service (API)

Utilisez la commande CreateServiceLinkedRole APIappel. Dans la demande, spécifiez un nom de service sous la forme memorydb.amazonaws.com.

Modification de la description d'un rôle lié à un service pour MemoryDB

MemoryDB ne vous permet pas de modifier le rôle lié au AWSServiceRoleForMemoryDB service. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l'aide de IAM.

Modification de la description d'un rôle lié à un service (console IAM)

Vous pouvez utiliser la console IAM, pour modifier la description d'un rôle lié à un service.

Pour modifier la description d'un rôle lié à un service (console)

  1. Dans le volet de navigation gauche de la IAM console, sélectionnez Rôles.

  2. Choisissez le nom du rôle à modifier.

  3. A l'extrême droite de Description du rôle, choisissez Edit (Modifier).

  4. Saisissez une nouvelle description dans la zone et choisissez Save (Enregistrer).

Modification de la description d'un rôle lié à un service () IAM CLI

Vous pouvez utiliser IAM les opérations du AWS Command Line Interface pour modifier la description d'un rôle lié à un service.

Pour changer la description d'un rôle lié à un service (CLI)

  1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez l'IAMopération AWS CLI forget-role.

    $ aws iam get-role --role-name AWSServiceRoleForMemoryDB

    Utilisez le nom du rôle, et non leARN, pour faire référence aux rôles associés aux CLI opérations. Par exemple, si un rôle présente les caractéristiques suivantes ARN :arn:aws:iam::123456789012:role/myrole, faites référence au rôle en tant quemyrole.

  2. Pour mettre à jour la description d'un rôle lié à un service, utilisez l'opération AWS CLI forIAM. update-role-description

    Pour Linux, macOS ou Unix :

    $ aws iam update-role-description \
    --role-name AWSServiceRoleForMemoryDB \
    --description "new description"

    Pour Windows :

    $ aws iam update-role-description ^
    --role-name AWSServiceRoleForMemoryDB ^
    --description "new description"

Modification de la description d'un rôle lié à un service () IAM API

Vous pouvez utiliser le IAM API pour modifier la description d'un rôle lié à un service.

Pour changer la description d'un rôle lié à un service (API)

  1. (Facultatif) Pour afficher la description actuelle d'un rôle, utilisez l'IAMAPIopération GetRole.

    https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &AUTHPARAMS

  2. Pour mettre à jour la description d'un rôle, utilisez l'IAMAPIopération UpdateRoleDescription.

    https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &Description="New description"

Supprimer un rôle lié à un service pour MemoryDB

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer votre rôle lié à un service avant de pouvoir le supprimer.

MemoryDB ne supprime pas le rôle lié au service pour vous.

Nettoyage d'un rôle lié à un service

Avant de pouvoir supprimer un rôle lié IAM à un service, vérifiez d'abord qu'aucune ressource (cluster) n'est associée au rôle.

Pour vérifier si une session est active pour le rôle lié à un service dans la console IAM

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation gauche de la IAM console, sélectionnez Rôles. Choisissez ensuite le nom (et non la case à cocher) du AWSServiceRoleForMemoryDB rôle.

  3. Sur la page Récapitulatif du rôle sélectionné, choisissez l'onglet Access Advisor.

  4. Dans l'onglet Access Advisor, consultez l'activité récente pour le rôle lié à un service.

Pour supprimer les ressources MemoryDB qui nécessitent AWSServiceRoleForMemoryDB (console)

Suppression d'un rôle lié à un service (console IAM)

Vous pouvez utiliser la console IAM pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (console)

  1. Connectez-vous à la IAM console AWS Management Console et ouvrez-la à l'adresse https://console.aws.amazon.com/iam/.

  2. Dans le volet de navigation gauche de la IAM console, sélectionnez Rôles. Cochez ensuite la case en regard du nom du rôle que vous souhaitez supprimer, sans sélectionner le nom ou la ligne.

  3. Pour les actions sur les Rôle en haut de la page, sélectionnez Supprimer.

  4. Sur la page de confirmation, passez en revue les données du dernier accès au service, qui indiquent la date à laquelle chacun des rôles sélectionnés a accédé à un AWS service pour la dernière fois. Cela vous permet de confirmer si le rôle est actif actuellement. Si vous souhaitez continuer, sélectionnez Oui, supprimer pour lancer la tâche de suppression du rôle.

  5. Consultez les notifications de la console IAM pour surveiller la progression de la suppression du rôle lié à un service. Dans la mesure où la suppression du rôle lié à un service IAM est asynchrone, une fois que vous soumettez le rôle afin qu'il soit supprimé, la suppression peut réussir ou échouer. Si la tâche échoue, vous pouvez choisir View details (Afficher les détails) ou View Resources (Afficher les ressources) à partir des notifications pour connaître le motif de l'échec de la suppression.

Supprimer un rôle lié à un service () IAM CLI

Vous pouvez utiliser IAM les opérations du AWS Command Line Interface pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (CLI)

  1. Si vous ne connaissez pas le nom du rôle lié à un service que vous souhaitez supprimer, saisissez la commande suivante. Cette commande répertorie les rôles et leurs noms de ressources Amazon (ARNs) dans votre compte.

    $ aws iam get-role --role-name role-name

    Utilisez le nom du rôle, et non leARN, pour faire référence aux rôles associés aux CLI opérations. Par exemple, si un rôle possède le ARNarn:aws:iam::123456789012:role/myrole, vous l'appelezmyrole.

  2. Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le deletion-task-id de la réponse afin de vérifier l'état de la tâche de suppression. Saisissez la commande suivante pour envoyer une demande de suppression d'un rôle lié à un service.

    $ aws iam delete-service-linked-role --role-name role-name

  3. Tapez la commande suivante pour vérifier l'état de la tâche de suppression.

    $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.

Supprimer un rôle lié à un service () IAM API

Vous pouvez utiliser le IAM API pour supprimer un rôle lié à un service.

Pour supprimer un rôle lié à un service (API)

  1. Pour soumettre une demande de suppression pour un rôle lié à un service, appelez DeleteServiceLinkedRole. Dans la demande, spécifiez un nom de rôle.

    Dans la mesure où un rôle lié à un service ne peut pas être supprimé s'il est utilisé ou si des ressources lui sont associées, vous devez envoyer une demande de suppression. Cette demande peut être refusée si ces conditions ne sont pas satisfaites. Vous devez capturer le DeletionTaskId de la réponse afin de vérifier l'état de la tâche de suppression.

  2. Pour vérifier l'état de la suppression, appelez GetServiceLinkedRoleDeletionStatus. Dans la demande, spécifiez leDeletionTaskId.

    L’état de la tâche de suppression peut être NOT_STARTED, IN_PROGRESS, SUCCEEDED ou FAILED. Si la suppression échoue, l’appel renvoie le motif de l’échec, afin que vous puissiez apporter une solution.