Ruolo collegato ai servizi per Global Accelerator - AWS Global Accelerator
Autorizzazioni del ruolo collegato ai servizi per Global AcceleratorCreazione del ruolo collegato ai servizi per Global AcceleratorModifica del ruolo collegato ai servizi Global AcceleratorEliminazione del ruolo collegato ai servizi Global AcceleratorAggiornamenti dei ruoli collegati ai serviziRegioni supportate per i ruoli collegati ai servizi di Global Accelerator

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruolo collegato ai servizi per Global Accelerator

AWS Global Accelerator utilizza AWS Identity and Access Management (IAM)Ruolo collegato ai servizi: . Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a un servizio. I ruoli collegati ai servizi sono definiti automaticamente dal servizio stesso e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.

Global Accelerator usa il seguente ruolo collegato ai servizi IAM:

  • AWSServiceroleForGlobalAccelerator: Global Accelerator utilizza questo ruolo per consentire a Global Accelerator di creare e gestire le risorse necessarie per la conservazione degli indirizzi IP del client.

Global Accelerator crea automaticamente un ruolo denominato AWSServiceroleForGlobalAccelerator quando il ruolo è richiesto per la prima volta per supportare un'operazione API Global Accelerator. Il ruolo AWSServiceroleForGlobalAccelerator consente a Global Accelerator di creare e gestire le risorse necessarie per la conservazione degli indirizzi IP del client. Questo ruolo è necessario per l'utilizzo degli acceleratori in Global Accelerator. L'ARN per il ruolo AWSServiceRoleForGlobalAccelerator è simile al seguente:

arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator

Un ruolo collegato ai servizi semplifica la configurazione e l'utilizzo di Global Accelerator perché non dovrai più aggiungere manualmente le autorizzazioni necessarie. Global Accelerator definisce le autorizzazioni del relativo ruolo collegato ai servizi; solo Global Accelerator può assumere i propri ruoli. Le autorizzazioni definite includono policy di trust e di autorizzazioni. Queste ultime non possono essere collegate a nessun'altra entità IAM.

È necessario rimuovere qualsiasi risorsa associata a Global Accelerator prima di eliminare il ruolo collegato ai servizi. In questo modo è possibile proteggere le proprie risorse Global Accelerator assicurandosi che non venga rimosso un ruolo collegato ai servizi ancora necessario per accedere alle risorse attive.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione relativa ai servizi AWS che funzionano con IAM e cerca i servizi che nella colonna Service-Linked Role (Ruolo associato ai servizi) riportano Yes (Sì).

Autorizzazioni del ruolo collegato ai servizi per Global Accelerator

Global Accelerator usa un ruolo collegato ai servizi denominatoAWSServiceroleForGlobalAccelerator: . Nelle sezioni seguenti vengono descritte le autorizzazioni per il ruolo.

Autorizzazioni del ruolo collegato ai servizi

Questo ruolo collegato ai servizi consente a Global Accelerator di gestire le interfacce di rete elastiche EC2 e i gruppi di sicurezza e di facilitare la diagnosi degli errori.

Il ruolo collegato ai servizi AWSServiceRoleForGlobalAccelerator considera attendibile il seguente servizio per assumere il ruolo:

  • globalaccelerator.amazonaws.com

La policy delle autorizzazioni del ruolo consente a Global Accelerator di eseguire le seguenti operazioni sulle risorse specificate, come mostrato nel policy:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Devi configurare le autorizzazioni per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di eliminare il ruolo collegato ai servizi di Global Accelerator. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione del ruolo collegato ai servizi per Global Accelerator

Non devi creare manualmente il ruolo collegato al servizio per Global Accelerator. Il servizio crea automaticamente il ruolo la prima volta che si crea un acceleratore. Se rimuovi le risorse Global Accelerator ed elimina il ruolo collegato ai servizi, il servizio crea di nuovo automaticamente il ruolo quando crea un nuovo acceleratore.

Modifica del ruolo collegato ai servizi Global Accelerator

Global Accelerator non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForGlobalAccelerator. Dopo aver creato un ruolo collegato ai servizi, non puoi modificare il nome del ruolo perché varie entità possono farvi riferimento. Puoi tuttavia modificare la descrizione di un ruolo utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l’utente di IAM.

Eliminazione del ruolo collegato ai servizi Global Accelerator

Se non devi più utilizzare Global Accelerator, ti suggeriamo di eliminare il ruolo collegato ai servizi. In questo modo non saranno più presenti entità non utilizzate che non vengono monitorate e gestite attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse di Global Accelerator nel tuo account prima di poter eliminare manualmente i ruoli.

Dopo aver disabilitato ed eliminato i tasti di scelta rapida, è possibile eliminare il ruolo collegato ai servizi. Per ulteriori informazioni sull'eliminazione degli acceleratori, consulta Creazione o aggiornamento di un acceleratore standard: .

Nota

Se gli acceleratori sono stati disattivati ed eliminati ma Global Accelerator non ha completato l'aggiornamento, l'eliminazione del ruolo collegato ai servizi potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti la procedura di eliminazione dei ruoli collegati ai servizi.

Per eliminare manualmente il ruolo collegato al servizio AWSServiceRoleForGlobalAccelerator

  1. Accedere alla Console di gestione AWS e aprire la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel riquadro di navigazione della console IAM scegliere Roles (Ruoli). Quindi, seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.

  3. In operazioni Role (Ruolo) nella parte superiore della pagina, seleziona Delete (Elimina) ruolo.

  4. Nella finestra di dialogo di conferma, controlla gli ultimi dati del servizio a cui è stato effettuato l'accesso, che mostrano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona Yes, Delete (Sì, elimina) per richiedere l'eliminazione del ruolo collegato ai servizi.

  5. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.

Aggiornamenti al ruolo collegato al servizio Global Accelerator (un criterio gestito AWS)

Visualizzare i dettagli sugli aggiornamenti del ruolo collegato al servizio per da quando il servizio ha iniziato a tenere traccia di queste modifiche. Per avvisi automatici sulle modifiche apportate a questa pagina, iscriviti al feed RSS su AWS Global AcceleratorCronologia dei documenti(Certificato creato).

Modifica Descrizione Data

AWSServiceroleForGlobalAccelerator— Aggiornamento della policy

Global Accelerator ha aggiunto una nuova autorizzazione per aiutare Global Accelerator a diagnosticare gli errori.

Global Accelerator utilizzaec2:DescribeRegionsper determinare la regione AWS in cui si trova un cliente, che può aiutare Global Accelerator a risolvere gli errori.

 18 maggio 2021

Global Accelerator ha iniziato a tenere traccia

Global Accelerator ha iniziato a monitorare le modifiche per i suoi criteri gestiti AWS.

 18 maggio 2021

Regioni supportate per i ruoli collegati ai servizi di Global Accelerator

Global Accelerator supporta l'utilizzo di ruoli collegati ai servizi in regioni AWS in cui è supportato Global Accelerator.

Per un elenco delle regioni AWS in cui sono attualmente supportati Global Accelerator e altri servizi, consulta laTabella AWS: .