Utilizzo di ruoli collegati ai servizi per Amazon MQ - Amazon MQ
Autorizzazioni del ruolo collegato ai servizi per Amazon MQCreazione di un ruolo collegato ai servizi per Amazon MQModifica di un ruolo collegato ai servizi per Amazon MQEliminazione di un ruolo collegato ai servizi per Amazon MQRegioni supportate per i ruoli collegati ai servizi di Amazon MQ

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Amazon MQ

Amazon MQ utilizza ruoli collegati al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente ad Amazon MQ. I ruoli collegati ai servizi sono definiti automaticamente da Amazon MQ e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di Amazon MQ perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Amazon MQ definisce le autorizzazioni del ruolo associato ai servizi e, salvo diversamente definito, solo Amazon MQ può assumere il ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Amazon MQ perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta i servizi AWS che funzionano con IAM e cerca i servizi che riportano Yes (Sì) nella colonna Service-Linked Role (Ruolo associato ai servizi). Scegliere un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Amazon MQ

Amazon MQ usa il ruolo collegato ai servizi denominato AWSServiceRoleForAmazonMQ, che consente ad Amazon MQ di chiamare i servizi AWS per tuo conto.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForAmazonMQ considera attendibili i seguenti servizi:

  • mq.amazonaws.com

Amazon MQ utilizza la policy delle autorizzazioni AmazonMQServiceRolePolicy collegata al ruolo collegato ai servizi AWSServiceRoleForEMRCleanup per completare le seguenti operazioni sulle risorse specificate:

  • Operazione: ec2:CreateVpcEndpoint sulla risorsa vpc.

  • Operazione: ec2:CreateVpcEndpoint sulla risorsa subnet.

  • Operazione: ec2:CreateVpcEndpoint sulla risorsa security-group.

  • Operazione: ec2:CreateVpcEndpoint sulla risorsa vpc-endpoint.

  • Operazione: ec2:DescribeVpcEndpoints sulla risorsa vpc.

  • Operazione: ec2:DescribeVpcEndpoints sulla risorsa subnet.

  • Operazione: ec2:CreateTags sulla risorsa vpc-endpoint.

  • Operazione: logs:PutLogEvents sulla risorsa log-group.

  • Operazione: logs:DescribeLogStreams sulla risorsa log-group.

  • Operazione: logs:DescribeLogGroups sulla risorsa log-group.

  • Operazione: CreateLogStream sulla risorsa log-group.

  • Operazione: CreateLogGroup sulla risorsa log-group.

Quando crei un broker Amazon MQ per RabbitMQ, la policy delle autorizzazioni AmazonMQServiceRolePolicy consente ad Amazon MQ di eseguire le seguenti attività per tuo conto.

  • Creare un endpoint Amazon VPC per il broker utilizzando Amazon VPC, la sottorete e il gruppo di sicurezza fornito. È possibile utilizzare l'endpoint creato per il broker per connettersi alil broker tramite la console di gestione RabbitMQ, l'API di gestione o in modo programmatico.

  • Creare gruppi di log e pubblica i log del broker su Amazon CloudWatch Logs.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeVpcEndpoints"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc/*",
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateVpcEndpoint"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:vpc-endpoint/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/AMQManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateVpcEndpoint"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:DeleteVpcEndpoints"
            ],
            "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AMQManaged": "true"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "logs:PutLogEvents",
                "logs:DescribeLogStreams",
                "logs:DescribeLogGroups",
                "logs:CreateLogStream",
                "logs:CreateLogGroup"
            ],
            "Resource": [
                "arn:aws:logs:*:*:log-group:/aws/amazonmq/*"
            ]
        }
    ]
}

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per Amazon MQ

Non devi creare manualmente un ruolo collegato ai servizi. Quando crei per la prima volta un broker, Amazon MQ crea un ruolo collegato ai servizi per chiamare i servizi AWS per tuo conto. Tutti i broker successivi creati utilizzeranno lo stesso ruolo senza crearne di nuovi.

Importante

Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta Un nuovo ruolo è apparso nel mio account IAM.

Se si elimina questo ruolo collegato ai servizi e quindi deve essere creato di nuovo, è possibile utilizzare lo stesso processo per ricreare il ruolo nell'account.

È possibile utilizzare la console IAM anche per creare un ruolo collegato ai servizi con il caso d'uso Amazon MQ. In AWS CLI o in AWS API, crea un ruolo collegato ai servizi con il nome di servizio mq.amazonaws.com. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM. Se elimini il ruolo collegato ai servizi, puoi utilizzare lo stesso processo per crearlo nuovamente.

Modifica di un ruolo collegato ai servizi per Amazon MQ

Amazon MQ non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForAmazonMQ. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consultare Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon MQ

Se non è più necessario utilizzare una caratteristicao un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Nota

Se il servizio Amazon MQ utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Eliminare le risorse Amazon MQ utilizzate da AWSServiceRoleForAmazonMQ

  • Elimina i tuoi broker Amazon MQ utilizzando la AWS Management Console, la CLI Amazon MQ o l'API Amazon MQ. Per ulteriori informazioni sull'eliminazione dei broker, consultare Deleting a broker.

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Utilizza la console IAM, la AWS CLI o l'API AWS per eliminare il ruolo collegato al servizio AWSServiceRoleForAmazonMQ. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati ai servizi di Amazon MQ

Amazon MQ supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.

Nome regione Identità della regione Supporto in Amazon MQ
US East (N. Virginia) us-east-1
US East (Ohio) us-east-2
Stati Uniti occidentali (California settentrionale) us-west-1
US West (Oregon) us-west-2
Asia Pacifico (Mumbai) ap-south-1
Asia Pacifico (Osaka) ap-northeast-3
Asia Pacifico (Seoul) ap-northeast-2
Asia Pacific (Singapore) ap-southeast-1
Asia Pacific (Sydney) ap-southeast-2
Asia Pacific (Tokyo) ap-northeast-1
Canada (Centrale) ca-central-1
Europa (Francoforte) eu-central-1
Europe (Ireland) eu-west-1
Europa (Londra) eu-west-2
Europa (Parigi) eu-west-3
South America (São Paulo) sa-east-1
AWS GovCloud (US) us-gov-west-1 No