Buat peran tertaut layanan - AWS Identity and Access Management
Izin peran terkait layananIzin tidak langsungMembuat peran terkait layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Buat peran tertaut layanan

Peran terkait layanan adalah jenis peran unik yang tertaut langsung ke layanan. IAM AWS Peran terkait layanan ditentukan sebelumnya oleh layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lainnya atas nama Anda. Layanan yang terhubung juga menentukan cara Anda membuat, memodifikasi, dan menghapus peran yang terkait dengan layanan. Layanan dapat secara otomatis membuat atau menghapus peran. Peran ini memungkinkan Anda membuat, memodifikasi, atau menghapus peran sebagai bagian dari wizard atau proses dalam layanan. Atau Anda IAM harus membuat atau menghapus peran tersebut. Terlepas dari metodenya, peran terkait layanan menyederhanakan proses penyiapan layanan karena Anda tidak perlu menambahkan izin secara manual ke layanan untuk menyelesaikan tindakan atas nama Anda.

catatan

Ingatlah bahwa peran layanan berbeda dari peran terkait layanan. Peran layanan adalah IAMperan yang diasumsikan oleh layanan untuk melakukan tindakan atas nama Anda. IAMAdministrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam IAMPanduan Pengguna. Peran terkait layanan adalah jenis peran layanan yang tertaut dengan layanan. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan tersebut. IAMAdministrator dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.

Layanan tertaut menentukan izin peran tertaut-layanannya, dan kecuali ditentukan lain, hanya layanan itu yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas lain. IAM

Sebelum dapat menghapus peran tersebut, Anda harus terlebih dahulu menghapus sumber daya terkait mereka. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Tip

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran terkait layanan

Anda harus mengonfigurasi izin untuk IAM entitas (pengguna atau peran) untuk mengizinkan pengguna atau peran membuat atau mengedit peran terkait layanan.

catatan

ARNUntuk peran terkait layanan mencakup prinsipal layanan, yang ditunjukkan dalam kebijakan di bawah ini sebagai. SERVICE-NAME.amazonaws.com Jangan mencoba menebak prinsipal layanan, karena peka huruf besar kecil dan formatnya dapat beragam di berbagai AWS layanan. Untuk melihat prinsipal layanan untuk suatu layanan, lihat dokumentasi peran yang terkait dengan layanan.

Untuk mengizinkan IAM entitas membuat peran terkait layanan tertentu

Tambahkan kebijakan berikut ke IAM entitas yang perlu membuat peran terkait layanan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
        }
    ]
}

Untuk mengizinkan IAM entitas membuat peran terkait layanan apa pun

Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu membuat peran terkait layanan, atau peran layanan apa pun yang menyertakan kebijakan yang diperlukan. Pernyataan kebijakan ini tidak mengizinkan IAM entitas untuk melampirkan kebijakan ke peran tersebut.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Untuk mengizinkan IAM entitas mengedit deskripsi peran layanan apa pun

Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu mengedit deskripsi peran terkait layanan, atau peran layanan apa pun.

{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Untuk mengizinkan IAM entitas menghapus peran tertaut layanan tertentu

Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu menghapus peran terkait layanan.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
}

Untuk mengizinkan IAM entitas menghapus peran terkait layanan apa pun

Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu menghapus peran terkait layanan, tetapi bukan peran layanan.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Untuk mengizinkan IAM entitas meneruskan peran yang ada ke layanan

Beberapa AWS layanan memungkinkan Anda memberikan peran yang sudah ada ke layanan tersebut, alih-alih membuat peran terkait layanan baru. Untuk melakukannya, pengguna harus memiliki izin untuk melewati peran tersebut dengan layanan tersebut. Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu meneruskan peran. Pernyataan kebijakan ini juga memungkinkan entitas untuk melihat daftar peran yang darinya mereka dapat memilih peran untuk diteruskan. Untuk informasi selengkapnya, lihat Berikan izin pengguna untuk meneruskan peran ke layanan AWS.

{
  "Sid": "PolicyStatementToAllowUserToListRoles",
  "Effect": "Allow",
  "Action": ["iam:ListRoles"],
  "Resource": "*"
},
{
  "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole",
  "Effect": "Allow",
  "Action": [ "iam:PassRole" ],
  "Resource": "arn:aws:iam::account-id:role/my-role-for-XYZ"
}

Izin tidak langsung dengan peran terkait layanan

Izin yang diberikan oleh peran terkait layanan dapat secara tidak langsung ditransfer ke pengguna dan peran lain. Ketika peran terkait layanan digunakan oleh AWS layanan, peran terkait layanan tersebut dapat menggunakan izinnya sendiri untuk memanggil layanan lain. AWS Ini berarti bahwa pengguna dan peran dengan izin untuk memanggil layanan yang menggunakan peran terkait layanan mungkin memiliki akses tidak langsung ke layanan yang dapat diakses oleh peran terkait layanan tersebut.

Misalnya, saat Anda membuat instans Amazon RDS DB, peran yang ditautkan layanan akan RDS dibuat secara otomatis jika belum ada. Peran terkait layanan ini memungkinkan Anda RDS untuk memanggil Amazon, EC2 Amazon, SNS Amazon CloudWatch Logs, dan Amazon Kinesis atas nama Anda. Jika Anda mengizinkan pengguna dan peran di akun Anda untuk memodifikasi atau membuat RDS database, mereka mungkin dapat berinteraksi secara tidak langsung dengan Amazon, Amazon, CloudWatch log EC2 SNS Amazon Logs, dan sumber daya Amazon Kinesis dengan RDS menelepon, RDS seperti yang akan menggunakan peran terkait layanan untuk mengakses sumber daya tersebut.

Membuat peran terkait layanan

Metode yang Anda gunakan untuk membuat peran terkait layanan tergantung pada layanannya. Dalam beberapa kasus, Anda tidak perlu membuat peran terkait layanan secara manual. Misalnya, ketika Anda menyelesaikan tindakan tertentu (seperti membuat sumber daya) dalam layanan, layanan tersebut mungkin membuat peran yang berkaitan dengan layanan bagi Anda. Atau jika Anda menggunakan layanan sebelum mulai mendukung peran tertaut-layanan, maka layanan tersebut mungkin secara otomatis membuat peran tersebut di akun Anda. Untuk mempelajari informasi selengkapnya, lihat Peran baru muncul di akun AWS saya.

Dalam kasus lain, layanan mungkin mendukung pembuatan peran terkait layanan secara manual menggunakan konsol layananAPI, atau. CLI Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Untuk mempelajari apakah layanan mendukung pembuatan peran tertaut-layanan, pilih tautan Ya untuk melihat dokumentasi peran tertaut-layanan untuk layanan itu.

Jika layanan tidak mendukung pembuatan peran, Anda dapat menggunakan IAM untuk membuat peran terkait layanan.

penting

Peran terkait layanan diperhitungkan dalam IAM peran Anda dalam Akun AWS batas tertentu, tetapi jika Anda telah mencapai batas Anda, Anda masih dapat membuat peran terkait layanan di akun Anda. Hanya peran yang berkaitan dengan layanan yang dapat melebihi batas.

Membuat peran terkait layanan (konsol)

Sebelum Anda membuat peran terkait layanan diIAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan. Selain itu, pelajari apakah Anda dapat membuat peran dari konsol layanan, atau. API CLI

Untuk membuat peran terkait layanan (konsol)

  1. Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi IAM konsol tersebut, pilih Peran. Kemudian, pilih Buat peran.

  3. Pilih jenis peran AWS Layanan.

  4. Pilih kasus penggunaan untuk layanan Anda. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang disyaratkan oleh layanan. Lalu, pilih Selanjutnya.

  5. Pilih satu kebijakan izin atau lebih untuk dilampirkan ke peran tersebut. Bergantung pada kasus penggunaan yang Anda pilih, layanan mungkin melakukan salah satu hal berikut:

    • Tentukan izin yang digunakan oleh peran tersebut.

    • Memungkinkan Anda memilih dari serangkaian izin yang terbatas.

    • Memungkinkan Anda memilih dari serangkaian izin mana pun.

    • Memungkinkan Anda memilih tidak ada kebijakan saat ini, membuat kebijakan nanti, lalu melampirkannya ke peran.

    Ciptakan kotak centang di samping kebijakan yang menetapkan izin yang Anda inginkan untuk peran tersebut, lalu pilih Berikutnya.

    catatan

    Izin yang Anda tentukan tersedia untuk setiap entitas yang menggunakan peran tersebut. Secara default, peran tidak memiliki izin.

  6. Untuk Nama peran, tingkat penyesuaian nama peran ditentukan oleh layanan. Jika layanan mendefinisikan nama peran, maka opsi ini tidak dapat diedit. Dalam kasus lain, layanan mungkin menentukan awalan peran dan memungkinkan Anda memasukkan akhiran opsional.

    Jika memungkinkan, masukkan akhiran nama peran untuk menambahkan ke nama default. Akhiran ini membantu Anda mengidentifikasi tujuan peran ini. Nama peran harus unik di akun AWS Anda. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat peran dengan nama <service-linked-role-name>_SAMPLE dan <service-linked-role-name>_sample. Anda tidak dapat mengubah nama peran setelah dibuat karena berbagai entitas mungkin mereferensikan peran tersebut.

  7. (Opsional) Untuk Deskripsi, edit deskripsi untuk peran terkait layanan baru.

  8. Anda tidak dapat melampirkan tanda ke peran terkait layanan selama pembuatan. Untuk informasi selengkapnya tentang menggunakan tag diIAM, lihatTag untuk AWS Identity and Access Management sumber daya.

  9. Tinjau peran dan kemudian pilih Buat peran.

Membuat peran terkait layanan (AWS CLI)

Sebelum membuat peran terkait layanan diIAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan dan apakah Anda dapat membuat peran terkait layanan dan apakah Anda dapat membuat peran terkait layanan. CLI Jika layanan tidak CLI didukung, Anda dapat menggunakan IAM perintah untuk membuat peran terkait layanan menggunakan kebijakan kepercayaan dan kebijakan inline yang diperlukan layanan untuk menjalankan peran tersebut.

Untuk membuat peran terkait layanan ()AWS CLI

Jalankan perintah berikut:

aws iam create-service-linked-role --aws-service-name SERVICE-NAME.amazonaws.com

Membuat peran terkait layanan ()AWS API

Sebelum membuat peran terkait layanan diIAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan dan apakah Anda dapat membuat peran terkait layanan dan apakah Anda dapat membuat peran terkait layanan. API Jika layanan tidak API didukung, Anda dapat menggunakan peran AWS API terkait layanan dengan kebijakan kepercayaan dan kebijakan inline yang diperlukan layanan untuk menjalankan peran tersebut.

Untuk membuat peran terkait layanan ()AWS API

Gunakan CreateServiceLinkedRoleAPIpanggilan. Dalam permintaan, sebutkan nama layanan dari SERVICE_NAME_URL.amazonaws.com.

Misalnya, untuk membuat peran terkait layanan Lex Bots, gunakan lex.amazonaws.com.