Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Peran terkait layanan untuk AWS CloudHSM
Kebijakan IAM yang Anda buat sebelumnya untuk Kebijakan yang dikelola pelanggan untuk AWS CloudHSM menyertakan iam:CreateServiceLinkedRole tindakan. AWS CloudHSM mendefinisikan peran terkait layanan bernama HSM. AWSService RoleForCloud Peran tersebut telah ditentukan sebelumnya oleh AWS CloudHSM dan termasuk izin yang AWS CloudHSM mengharuskan untuk memanggil AWS layanan lain atas nama Anda. Peran tersebut memudahkan pengaturan layanan karena Anda tidak perlu menambahkan kebijakan peran dan izin kebijakan kepercayaan secara manual.
Kebijakan peran memungkinkan Anda AWS CloudHSM membuat grup CloudWatch log Amazon Log dan aliran log serta menulis peristiwa log atas nama Anda. Anda dapat melihatnya di bawah dan di konsol IAM.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
Kebijakan kepercayaan untuk peran AWSServiceRoleForCloudHSM memungkinkan AWS CloudHSM untuk mengambil peran tersebut.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Membuat peran terkait layanan (otomatis)
AWS CloudHSM membuat peran AWSServiceRoleForCloudHSM saat Anda membuat klaster jika Anda menyertakan iam:CreateServiceLinkedRole tindakan dalam izin yang Anda tentukan saat membuat grup AWS CloudHSM administrator. Lihat Kebijakan yang dikelola pelanggan untuk AWS CloudHSM.
Jika Anda sudah memiliki satu atau beberapa cluster dan hanya ingin menambahkan peran AWSServiceRoleForCloudHSM, Anda dapat menggunakan konsol, perintah create-cluster, atau operasi CreateClusterAPI untuk membuat cluster. Kemudian gunakan konsol, perintah delete-cluster, atau operasi DeleteClusterAPI untuk menghapusnya. Membuat klaster baru menciptakan peran terkait layanan dan berlaku untuk semua klaster di akun Anda. Atau, Anda dapat membuat peran secara manual. Lihat bagian berikut untuk informasi selengkapnya.
catatan
Anda tidak perlu melakukan semua langkah yang diuraikan Memulai dengan AWS CloudHSM untuk membuat cluster jika Anda hanya membuatnya untuk menambahkan peran AWSServiceRoleForCloudHSM.
Membuat peran terkait layanan (manual)
Anda dapat menggunakan konsol IAM, AWS CLI, atau API untuk membuat peran AWSServiceRoleForCloudHSM. Untuk informasi lebih lanjut, lihat Membuat Peran yang Terhubung dengan Layanan di Panduan Pengguna IAM.
Mengedit peran terkait layanan
AWS CloudHSM tidak memungkinkan Anda untuk mengedit peran AWSServiceRoleForCloudHSM. Setelah membuat peran, misalnya, Anda tidak dapat mengubah namanya karena berbagai entitas mungkin mereferensikan peran tersebut. Selain itu, Anda tidak dapat mengubah kebijakan peran. Namun, Anda dapat menggunakan IAM untuk mengedit deskripsi peran. Untuk informasi lebih lanjut, lihat Mengedit Peran Terkait Layanan di Panduan Pengguna IAM.
Menghapus peran tertaut layanan
Anda tidak dapat menghapus peran terkait layanan selama klaster yang telah diterapkan masih ada. Untuk menghapus peran, Anda harus terlebih dahulu menghapus setiap HSM di klaster Anda dan kemudian menghapus klaster. Setiap klaster di akun Anda harus dihapus. Anda kemudian dapat menggunakan konsol IAM, AWS CLI, atau API untuk menghapus peran. Untuk informasi lebih lanjut tentang penghapusan klaster, lihat Menghapus sebuah cluster AWS CloudHSM. Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan dalam Panduan Pengguna IAM.
