Utilizzo di ruoli collegati ai servizi per Amazon FSx - FSx per Lustre
Autorizzazioni di ruolo collegate ai servizi per Amazon FSxCreazione di un ruolo collegato ai servizi per Amazon FSxModifica di un ruolo collegato ai servizi per Amazon FSxEliminazione di un ruolo collegato al servizio per Amazon FSxRegioni supportate per i ruoli collegati FSx ai servizi Amazon

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Amazon FSx

Amazon FSx utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon. FSx I ruoli collegati ai servizi sono predefiniti da Amazon FSx e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione di Amazon FSx perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon FSx definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon FSx può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue FSx risorse Amazon perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni su altri servizi che supportano ruoli collegati ai servizi, consulta i AWS servizi che funzionano con IAM e cerca i servizi con nella colonna Ruoli collegati ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per Amazon FSx

Amazon FSx utilizza due ruoli collegati ai servizi denominati AWSServiceRoleForAmazonFSx e AWSServiceRoleForFSxS3Access_fs-01234567890 che eseguono determinate azioni nel tuo account. Esempi di queste azioni sono la creazione di interfacce di rete elastiche per i tuoi file system nel tuo VPC e l'accesso al tuo repository di dati in un bucket Amazon S3. InfattiAWSServiceRoleForFSxS3Access_fs-01234567890, questo ruolo collegato al servizio viene creato per ogni file system Amazon FSx for Lustre creato che è collegato a un bucket S3.

AWSServiceRoleForAmazonFSx dettagli sulle autorizzazioni

InfattiAWSServiceRoleForAmazonFSx, la politica di autorizzazione dei ruoli consente FSx ad Amazon di completare le seguenti azioni amministrative per conto dell'utente su tutte le AWS risorse applicabili:

Per gli aggiornamenti a questa politica, vedi Amazon FSx ServiceRolePolicy

Nota

AWSServiceRoleForAmazonFSx Viene utilizzato da tutti i tipi di FSx file system di Amazon; alcune delle autorizzazioni elencate non sono applicabili a FSx Lustre.

  • ds— Consente FSx ad Amazon di visualizzare, autorizzare e non autorizzare le applicazioni nella tua directory. AWS Directory Service

  • ec2— Consente FSx ad Amazon di effettuare le seguenti operazioni:

    • Visualizza, crea e dissocia le interfacce di rete associate a un FSx file system Amazon.

    • Visualizza uno o più indirizzi IP elastici associati a un FSx file system Amazon.

    • Visualizza Amazon VPCs, i gruppi di sicurezza e le sottoreti associati a un FSx file system Amazon.

    • Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.

    • Crea un'autorizzazione per un utente AWS autorizzato a eseguire determinate operazioni su un'interfaccia di rete.

  • cloudwatch— Consente FSx ad Amazon di pubblicare punti dati metrici nello CloudWatch spazio dei FSx nomi AWS/.

  • route53— Consente FSx ad Amazon di associare un Amazon VPC a una zona ospitata privata.

  • logs— Consente FSx ad Amazon di descrivere e scrivere su CloudWatch Logs i flussi di log. In questo modo gli utenti possono inviare i registri di controllo degli accessi ai file per un file system FSx per Windows File Server a un CloudWatch flusso di log.

  • firehose— Consente FSx ad Amazon di descrivere e scrivere sui flussi di distribuzione di Amazon Data Firehose. In questo modo gli utenti possono pubblicare i log di controllo degli accessi ai file per un file system FSx per Windows File Server su un flusso di distribuzione di Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Eventuali aggiornamenti a questa politica sono descritti in. Amazon FSx aggiornamenti alle politiche AWS gestite

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Service-Linked Role Permissions nella IAM User Guide.

AWSServiceRoleForFSxDettagli sulle autorizzazioni S3Access

InfattiAWSServiceRoleForFSxS3Access_file-system-id, la politica di autorizzazione dei ruoli consente FSx ad Amazon di completare le seguenti azioni su un bucket Amazon S3 che ospita il repository di dati per un file system FSx Amazon for Lustre.

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutObject

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per Amazon FSx

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un file system nella AWS Management Console, la AWS CLI o l' AWS API, Amazon FSx crea automaticamente il ruolo collegato al servizio.

Importante

Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta Un nuovo ruolo è apparso nel mio account IAM.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un file system, Amazon FSx crea nuovamente il ruolo collegato al servizio per te.

Modifica di un ruolo collegato ai servizi per Amazon FSx

Amazon FSx non consente di modificare questi ruoli collegati ai servizi. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per Amazon FSx

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, devi eliminare tutti i file system e i backup prima di poter eliminare manualmente il ruolo collegato al servizio.

Nota

Se il FSx servizio Amazon utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Usa la console IAM, la CLI IAM oppure l'API IAM per eliminare il ruolo collegato ai servizi AWSServiceRoleForAmazonFSx. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati FSx ai servizi Amazon

Amazon FSx supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.