Menggunakan peran tertaut layanan untuk Amazon EFS - Sistem File Elastis Amazon
Izin peran tertaut layanan untuk Amazon EFSMembuat peran tertaut layanan untuk Amazon EFSMengedit peran tertaut layanan untuk Amazon EFSMenghapus peran tertaut layanan untuk Amazon EFS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran tertaut layanan untuk Amazon EFS

Amazon Elastic File System menggunakan peran terkait layananAWS Identity and Access Management (IAM). Peran tertaut layanan Amazon EFS adalah jenis IAM role unik yang tertaut langsung dengan Amazon EFS. Peran tertaut layanan Amazon EFS yang telah ditentukan sebelumnya mencakup izin yang diperlukan layanan untuk memanggil orang lainLayanan AWS atas nama Anda.

Peran tertaut layanan memudahkan pengaturan Amazon EFS lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon EFS menentukan izin peran terkait layanannya, dan hanya Amazon EFS yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan Amazon EFS hanya setelah pertama kali menghapus sistem file Amazon EFS Anda. Tindakan ini dapat melindungi sumber daya Amazon EFS karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Peran terkait layanan memungkinkan semua panggilan API dapat dilihat melaluiAWS CloudTrail. Ini membantu persyaratan pemantauan dan audit karena Anda dapat melacak semua tindakan yang dilakukan Amazon EFS lakukan atas nama Anda. Untuk informasi selengkapnya, lihat Entri log untuk peran terkait EFS layanan.

Izin peran tertaut layanan untuk Amazon EFS

Amazon EFS menggunakan peran terkait layanan bernamaAWSServiceRoleForAmazonElasticFileSystem untuk memungkinkan Amazon EFS memanggil dan mengelolaAWS sumber daya atas nama sistem file EFS Anda.

AWSServiceRoleForAmazonElasticFileSystem peran terkait layanan memercayakan layanan berikut untuk menjalankan peran tersebut:

  • elasticfilesystem.amazonaws.com

Kebijakan izin peran memungkinkan Amazon EFS menyelesaikan tindakan yang termasuk dalam definisi kebijakan JSON:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration"
            ],
            "Resource": "*"
        }
    ]
}
catatan

Anda harus mengonfigurasi izin IAM secara manual untukAWS KMS saat membuat sistem file Amazon EFS baru yang dienkripsi saat istirahat. Untuk mempelajari selengkapnya, lihat Mengenkripsi data saat istirahat.

Membuat peran tertaut layanan untuk Amazon EFS

Anda harus mengkonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat peran terkait layanan. Lakukan ini dengan menambahkaniam:CreateServiceLinkedRole izin untuk entitas IAM seperti yang ditunjukkan pada contoh berikut.

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": [
                "elasticfilesystem.amazonaws.com"
            ]
        }
    }
}

Untuk informasi selengkapnya, lihat Izin Peran Terkait Layanan di Panduan Pengguna IAM.

Anda tidak perlu membuat peran terkait layanan secara manual. Ketika Anda membuat target kait atau konfigurasi replikasi untuk sistem file EFS Anda diAWS Management ConsoleAWS APIAWS CLI, atau, Amazon EFS membuat peran terkait layanan untuk Anda.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Ketika Anda membuat target kait atau konfigurasi replikasi untuk sistem file EFS membuat peran terkait layanan untuk Anda kembali.

Mengedit peran tertaut layanan untuk Amazon EFS

Amazon EFS tidak mengizinkan Anda untuk mengedit peranAWSServiceRoleForAmazonElasticFileSystem terkait layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi lebih lanjut, lihat Mengedit Peran Tertaut Layanan di Panduan Pengguna IAM.

Menghapus peran tertaut layanan untuk Amazon EFS

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

catatan

Jika layanan Amazon EFS menggunakan peran saat Anda mencoba untuk menghapus sumber daya, maka penghapusan tersebut kemungkinan gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus sumber daya Amazon EFS yang digunakan olehAWSServiceRoleForAmazonElasticFileSystem

Selesaikan langkah-langkah berikut untuk menghapus sumber daya Amazon EFS yang digunakan olehAWSServiceRoleForAmazonElasticFileSystem. Untuk prosedur rinci, lihatBersihkan sumber daya dan lindungi AWS akun Anda.

  1. Pada instans Amazon EC2 Anda, lepaskan sistem file Amazon EFS.

  2. Hapus sistem file Amazon EFS.

  3. Hapus grup keamanan khusus untuk sistem file.

    Awas

    Jika Anda menggunakan grup keamanan default untuk virtual private cloud (VPC) Anda, jangan hapus grup keamanan tersebut.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan konsol IAM, AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSServiceRoleForAmazonElasticFileSystem. Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan dalam Panduan Pengguna IAM.