Menggunakan peran terkait layanan untuk Amazon FSx - FSxuntuk Lustre
Izin peran terkait layanan untuk Amazon FSxMembuat peran terkait layanan untuk Amazon FSxMengedit peran terkait layanan untuk Amazon FSxMenghapus peran terkait layanan untuk Amazon FSxWilayah yang didukung untuk peran terkait layanan Amazon FSx

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk Amazon FSx

Amazon FSx menggunakan peran terkait layanan AWS Identity and Access Management (IAM). Peran tertaut layanan adalah jenis IAM role unik yang terkait langsung dengan Amazon FSx. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon FSx dan menyertakan semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS

Peran tertaut layanan mempermudah pengaturan Amazon FSx karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon FSx menentukan izin atas peran tertaut layanan, dan kecuali ditentukan lain, hanya Amazon FSX yang dapat menjalankan perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Amazon FSx karena Anda tidak dapat secara ceroboh menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat layanan AWS yang bisa digunakan dengan IAM dan carilah layanan yang memiliki opsi Ya di kolom Peran terkait layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Izin peran terkait layanan untuk Amazon FSx

Amazon FSx menggunakan dua peran terkait layanan bernama AWSServiceRoleForAmazonFSx dan AWSServiceRoleForFSxS3Access_fs-01234567890 yang melakukan tindakan tertentu di akun Anda. Contoh tindakan ini adalah menciptakan antarmuka jaringan elastis untuk sistem file Anda di VPC Anda mengakses repositori data Anda dalam bucket Amazon S3. Untuk AWSServiceRoleForFSxS3Access_fs-01234567890, peran terkait layanan ini dibuat untuk setiap sistem file Amazon FSx for Lustre yang Anda buat yang terhubung ke bucket S3.

AWSServiceRoleForAmazonFSx rincian izin

UntukAWSServiceRoleForAmazonFSx, kebijakan izin peran memungkinkan Amazon FSx untuk menyelesaikan tindakan administratif berikut atas nama pengguna atas semua AWS sumber daya yang berlaku:

Untuk pembaruan kebijakan ini, lihat AmazonF SxServiceRolePolicy

catatan

AWSServiceRoleForAmazonFSx Ini digunakan oleh semua jenis sistem file Amazon FSx; beberapa izin yang terdaftar tidak berlaku untuk FSx for Lustre.

  • ds— Memungkinkan Amazon FSx untuk melihat, mengotorisasi, dan tidak mengotorisasi aplikasi di direktori Anda. AWS Directory Service

  • ec2 — Mengizinkan Amazon FSx untuk melakukan hal berikut:

    • Melihat, membuat, dan memisahkan antarmuka jaringan yang terkait dengan sistem file Amazon FSx.

    • Lihat satu atau lebih alamat IP Elastis yang terkait dengan sistem file Amazon FSx.

    • Lihat Amazon VPC, grup keamanan, dan subnet yang terkait dengan sistem file Amazon FSx.

    • Untuk memberikan validasi grup keamanan yang ditingkatkan dari semua grup keamanan yang dapat digunakan dengan VPC.

    • Buat izin bagi pengguna AWS yang berwenang untuk melakukan operasi tertentu pada antarmuka jaringan.

  • cloudwatch— Memungkinkan Amazon FSx untuk mempublikasikan titik data metrik ke CloudWatch bawah namespace AWS/fsX.

  • route53 — Mengizinkan Amazon FSx mengasosiasikan Amazon VPC dengan zona yang dihosting privat.

  • logs— Memungkinkan Amazon FSx untuk mendeskripsikan dan menulis ke aliran CloudWatch log Log. Ini agar pengguna dapat mengirim log audit akses file untuk sistem file FSx for Windows File Server ke CloudWatch aliran Log.

  • firehose— Memungkinkan Amazon FSx untuk mendeskripsikan dan menulis ke aliran pengiriman Amazon Data Firehose. Ini agar pengguna dapat mempublikasikan log audit akses file untuk sistem file FSx for Windows File Server ke aliran pengiriman Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Setiap pembaruan untuk kebijakan ini dijelaskan dalamPembaruan Amazon FSx ke AWS kebijakan terkelola.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.

AWSServiceRoleForFSxS3Access rincian izin

UntukAWSServiceRoleForFSxS3Access_file-system-id, kebijakan izin peran memungkinkan Amazon FSx menyelesaikan tindakan berikut pada bucket Amazon S3 yang menghosting repositori data untuk sistem file Amazon FSx for Lustre.

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutObject

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran tertaut layanan dalam Panduan Pengguna IAM.

Membuat peran terkait layanan untuk Amazon FSx

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat sistem file di AWS Management Console, API AWS CLI, atau AWS API, Amazon FSx membuat peran terkait layanan untuk Anda.

penting

Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Ketika Anda membuat sistem file, Amazon FSx membuat peran tertaut layanan untuk Anda kembali.

Mengedit peran terkait layanan untuk Amazon FSx

Amazon FSx tidak mengizinkan Anda mengedit peran terkait layanan ini. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk Amazon FSx

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus menghapus semua sistem file Anda sebelum Anda dapat menghapus peran tertaut layanan secara manual.

catatan

Jika layanan Amazon FSx menggunakan peran saat Anda mencoba untuk menghapus sumber daya, maka penghapusan tersebut kemungkinan gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan konsol IAM, IAM CLI, atau IAM API untuk menghapus peran terkait layanan. AWSServiceRoleForAmazonFSx Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna IAM.

Wilayah yang didukung untuk peran terkait layanan Amazon FSx

Amazon FSx mensupport penggunaan peran tertaut layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat Wilayah dan Titik Akhir AWS.