Utilizzo di ruoli IAM collegati ai servizi per DAX - Amazon DynamoDB
Autorizzazioni del ruolo collegato ai servizi per DAXCreazione di un ruolo collegato ai servizi per DAXModifica di un ruolo collegato ai servizi per DAXEliminazione di un ruolo collegato ai servizi per DAX

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli IAM collegati ai servizi per DAX

Amazon DynamoDB Accelerator (DAX) utilizza i ruoli collegati ai servizi di AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a DAX. I ruoli collegati ai servizi sono definiti automaticamente da DAX e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per conto tuo.

Un ruolo collegato ai servizi semplifica la configurazione di DAX perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. DAX definisce le autorizzazioni dei relativi ruoli collegati ai servizi e, salvo diversamente definito, solo DAX potrà assumere i propri ruoli. Le autorizzazioni definite includono policy di trust e di autorizzazioni. Questa policy delle autorizzazioni non può essere collegata ad alcun'altra entità IAM.

È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di DAX perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la pagina Servizi AWS supportati da IAM nella Guida per l'utente di IAM. Cerca i servizi che contengono Yes (Sì) nella colonna Service-Linked Role (Ruolo collegato ai servizi). Scegli un collegamento Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per DAX

DAX usa il ruolo collegato ai servizi denominato AWSServiceRoleForDAX. Questo ruolo consente a DAX di chiamare i servizi per conto del tuo cluster DAX.

Importante

Il ruolo collegato ai servizi AWSServiceRoleForDAX semplifica la configurazione e il mantenimento di un cluster DAX. Tuttavia, occorre concedere a ogni cluster l'accesso a DynamoDB prima di poterlo utilizzare. Per ulteriori informazioni, consultare DAXcontrollo degli accessi.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForDAX considera attendibili i seguenti servizi:

  • dax.amazonaws.com

La policy delle autorizzazioni del ruolo consente a DAX di completare le seguenti operazioni sulle risorse specificate:

  • Operazioni su ec2:

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeNetworkInterfaces

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Per consentire a un'entità IAM di creare ruoli collegati ai servizi AWSServiceRoleForDAX

Aggiungi la seguente istruzione della policy alle autorizzazioni per l'entità IAM.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole"
    ],
    "Resource": "*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "dax.amazonaws.com"}}
}

Creazione di un ruolo collegato ai servizi per DAX

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un cluster, DAX crea il ruolo collegato ai servizi per conto tuo.

Importante

Se utilizzavi il servizio DAX prima del 28 febbraio 2018, data da cui è disponibile il supporto dei ruoli collegati al servizio, DAX ha creato il ruolo AWSServiceRoleForDAX nel tuo account. Per ulteriori informazioni, consulta Visualizzazione di un nuovo ruolo nell'account AWS nella Guida per l'utente di IAM.

Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei un'istanza o un cluster, DAX crea di nuovo il ruolo collegato ai servizi per conto tuo.

Modifica di un ruolo collegato ai servizi per DAX

DAX non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForDAX. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per DAX

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, prima di poter eliminare il ruolo collegato ai servizi, dovrai eliminare tutti i cluster DAX.

Pulizia di un ruolo collegato ai servizi

Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.

Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM seleziona Ruoli. Quindi, scegli il nome (non la casella di controllo) del ruolo AWSServiceRoleForDAX.

  3. Nella pagina Riepilogo per il ruolo selezionato, scegli la scheda Consulente accessi.

  4. Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.

    Nota

    Se non si ha la certezza che DAX stia utilizzando il ruolo AWSServiceRoleForDAX, è possibile provare a eliminarlo. Se il servizio sta utilizzando il ruolo, l'eliminazione non andrà a buon fine e puoi visualizzare le regioni in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare devi eliminare i cluster DAX. Non puoi revocare la sessione per un ruolo collegato ai servizi.

Se vuoi rimuovere il ruolo AWSServiceRoleForDAX, devi prima eliminare tutti i cluster DAX.

Eliminazione di tutti i cluster DAX

Utilizza una di queste procedure per eliminare ogni cluster DAX.

Come eliminare un cluster DAX (console)

  1. Apri la console DynamoDB all'indirizzo https://console.aws.amazon.com/dynamodb/.

  2. Nel riquadro di navigazione, in DAX, scegli Clusters (Cluster).

  3. Scegli Operazioni, quindi Elimina.

  4. Nella casella Conferma eliminazione cluster scegli Elimina.

Come eliminare un cluster DAX (AWS CLI)

Consulta .delete-cluster nella Riferimento ai comandi della AWS CLI.

Come eliminare un cluster DAX (API)

Consulta .DeleteCluster nella Documentazione di riferimento delle API di Amazon DynamoDB.

Eliminazione del ruolo collegato ai servizi

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Usa la console IAM, la CLI IAM oppure l'API IAM per eliminare il ruolo collegato ai servizi AWSServiceRoleForDAX. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.