Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per Amazon RDS
Amazon RDS utilizza i ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a Amazon RDS. I ruoli collegati ai servizi sono definiti automaticamente da Amazon RDS e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.
Un ruolo collegato ai servizi semplifica l'uso di Amazon RDS perché non sarà più necessario aggiungere manualmente le autorizzazioni. Amazon RDS definisce le autorizzazioni dei ruoli collegati ai servizi e, salvo diversamente definito, solo Amazon RDS può assumere il ruolo. Le autorizzazioni definite includono la policy di trust e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.
È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Amazon RDS perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consultare i servizi AWS che funzionano con IAM e cercare i servizi che riportano Yes (Sì) nella colonna Service-Linked Role (Ruolo associato ai servizi). Scegli Yes (Sì) in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni del ruolo collegato ai servizi per Amazon RDS
Amazon RDS usa il ruolo collegato al servizio denominato AWSServiceRoleForRDS per consentire ad Amazon RDS di chiamare i servizi AWS per conto delle tue istanze di database.
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForRDS considera attendibili i seguenti servizi:
-
rds.amazonaws.com
A questo ruolo collegato ai servizi è collegata un policy di autorizzazione denominata AmazonRDSServiceRolePolicy che concede le autorizzazioni per operare nell'account. La policy delle autorizzazioni del ruolo consente ad Amazon RDS di eseguire le seguenti operazioni sulle risorse specificate:
Per ulteriori informazioni su questa policy, incluso il documento sulla policy JSON, consulta AmazonRDSServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.
Nota
Per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Se viene visualizzato il messaggio di errore seguente:
Unable to create the resource. (Impossibile creare la risorsa. Verify that you have permission to create service linked role. (Verifica di possedere le autorizzazioni necessarie per creare un ruolo collegato ai servizi.) Otherwise wait and try again later. (In caso contrario, attendi e riprova più tardi.
Accertati che le seguenti autorizzazioni siano abilitate:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }
Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Creazione di un ruolo collegato ai servizi per Amazon RDS
Non devi creare manualmente un ruolo collegato ai servizi. Quando si crea un'istanza database, Amazon RDS crea nuovamente il ruolo collegato al servizio per conto dell'utente.
Importante
Se usavi il servizio Amazon RDS prima del 1 dicembre 2017, data da cui è disponibile il supporto dei ruoli collegati ai servizi, allora Amazon RDS ha creato il ruolo AWSServiceRoleForRDS nel tuo account. Per ulteriori informazioni, consulta Un nuovo ruolo appare nell'account AWS.
Se elimini questo ruolo collegato ai servizi e quindi devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando si crea un'istanza di database, Amazon RDS crea nuovamente il ruolo collegato al servizio per tuo conto.
Modifica di un ruolo collegato ai servizi per Amazon RDS
Amazon RDS non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForRDS. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione di un ruolo collegato ai servizi per Amazon RDS
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, prima di poter eliminare il ruolo collegato al servizio, devi eliminare tutte le istanze database.
Pulizia di un ruolo collegato ai servizi
Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.
Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM
Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/
. -
Nel pannello di navigazione della console IAM seleziona Roles (Ruoli). Quindi, scegli il nome (non la casella di controllo) del ruolo AWSServiceRoleForRDS.
-
Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegli la scheda Access Advisor (Consulente accessi).
-
Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.
Nota
Se non si ha la certezza che Amazon RDS stia utilizzando il ruolo AWSServiceRoleForRDS, è possibile provare a eliminarlo. Se il servizio sta utilizzando il ruolo, l'eliminazione non andrà a buon fine e potrai visualizzare le regioni AWS in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato ai servizi.
Se desideri rimuovere il ruolo AWSServiceRoleForRDS, devi prima eliminare tutti gli oggetti di tipo istanza database.
Eliminazione di tutte le istanze
Utilizza una di queste procedure per eliminare ogni istanza.
Per eliminare un'istanza (console)
Apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/
. -
Nel riquadro di navigazione, scegliere Databases (Database).
-
Scegliere l'istanza da eliminare.
-
In Actions (Azioni), selezionare Delete (Elimina).
-
Se viene visualizzato il messaggio Create final Snapshot? (Creare snapshot finale?), scegliere Yes (Sì) o No.
-
Se si sceglie Yes (Sì) nella fase precedente, in Final snapshot name (Nome snapshot finale) immettere il nome dell'ultimo snapshot.
-
Scegliere Delete (Elimina).
Per eliminare un'istanza (CLI)
Consulta delete-db-instance in Riferimento ai comandi AWS CLI.
Per eliminare un'istanza (API)
Consulta DeleteDBInstance nella Amazon RDS API Reference.
Per eliminare il ruolo collegato al servizio AWSServiceRoleForRDS, puoi usare la console IAM, la CLI IAM o l'API IAM. Per ulteriori dettagli, consulta Eliminazione di un ruolo collegato al servizio nella Guida per l'utente di IAM.
Autorizzazioni del ruolo collegato ai servizi per Amazon RDS Custom
Amazon RDS Custom usa il ruolo collegato al servizio denominato AWSServiceRoleForRDSCustom per consentire a RDS Custom di chiamare i servizi AWS per conto delle istanze e dei cluster database.
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForRDSCustom considera attendibili i seguenti servizi:
-
custom.rds.amazonaws.com
A questo ruolo collegato ai servizi è collegata un policy di autorizzazione denominata AmazonRDSCustomServiceRolePolicy che concede le autorizzazioni per operare nell'account. La policy delle autorizzazioni del ruolo consente ad di eseguire le seguenti operazioni sulle risorse specificate:
Per ulteriori informazioni su questa policy, incluso il documento sulla policy JSON, consulta AmazonRDSCustomServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS.
La creazione, la modifica o l'eliminazione del ruolo collegato al servizio per RDS Custom funziona come per Amazon RDS. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi per Amazon RDS.
Nota
Per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi, devi configurare le autorizzazioni. Se viene visualizzato il messaggio di errore seguente:
Unable to create the resource. (Impossibile creare la risorsa. Verify that you have permission to create service linked role. (Verifica di possedere le autorizzazioni necessarie per creare un ruolo collegato ai servizi.) Otherwise wait and try again later. (In caso contrario, attendi e riprova più tardi.
Accertati che le seguenti autorizzazioni siano abilitate:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSCustomServiceRolePolicy", "Condition": { "StringLike": { "iam:AWSServiceName":"custom.rds.amazonaws.com" } } }
Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.
