Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Usa ruoli collegati ai servizi per Amazon Lightsail
Amazon Lightsail AWS Identity and Access Management utilizza ruoli collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon Lightsail. I ruoli collegati ai servizi sono predefiniti da Amazon Lightsail e includono tutte le autorizzazioni richieste da Lightsail per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon Lightsail perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon Lightsail definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon Lightsail può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni, che non possono essere collegate a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse Amazon Lightsail perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS supportati da IAM e cerca i servizi che riportano Sì nella colonna Ruolo associato ai servizi. Scegli un Sì con un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni di ruolo collegate ai servizi per Amazon Lightsail
Amazon Lightsail utilizza il ruolo collegato ai servizi denominato AWSServiceRoleForLightsail— Role per esportare istantanee di istanze Lightsail e dischi di storage a blocchi su Amazon Elastic Compute Cloud (Amazon EC2) Elastic Compute Cloud (Amazon EC2) e per ottenere l'attuale configurazione Block Public Access a livello di account da Amazon Simple Storage Service (Amazon S3).
Il ruolo collegato al servizio prevede che i seguenti servizi assumano il ruolo: AWSServiceRoleForLightsail
-
lightsail.amazonaws.com
La politica di autorizzazione dei ruoli consente ad Amazon Lightsail di completare le seguenti azioni sulle risorse specificate:
-
Azione:
ec2:CopySnapshotsu tutte le risorse. AWS -
Azione:
ec2:DescribeSnapshotssu tutte le AWS risorse. -
Azione:
ec2:CopyImagesu tutte le AWS risorse. -
Azione:
ec2:DescribeImagessu tutte le AWS risorse. -
Azione:
cloudformation:DescribeStackssu tutti gli AWS CloudFormation stack AWS. -
Azione:
s3:GetAccountPublicAccessBlocksu tutte le AWS risorse.
Autorizzazioni del ruolo collegato ai servizi
Devi configurare le autorizzazioni per consentire a un'entità IAM; (ad esempio, un utente, un gruppo o un ruolo) di creare o di modificare la descrizione di un ruolo collegato ai servizi.
Per consentire a un'entità IAM di creare un ruolo specifico collegato ai servizi
Aggiungi la policy seguente a un'entità IAM che deve creare il ruolo collegato ai servizi.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*", "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" } ] }
Come consentire a un'entità IAM di creare qualunque ruolo collegato ai servizi
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve creare un ruolo collegato ai servizi o qualunque ruolo di servizio che include le policy di cui ha bisogno. Questa policy assegna una policy al ruolo.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Come consentire a un'entità IAM di modificare la descrizione di qualunque ruolo di servizio
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve modificare la descrizione di un ruolo collegato ai servizi o qualunque ruolo di servizio.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Come consentire a un'entità IAM di eliminare un ruolo collegato ai servizi specifico
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve eliminare il ruolo collegato ai servizi.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" }
Come consentire a un'entità IAM di eliminare qualunque ruolo di servizio
Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM; che deve eliminare un ruolo collegato ai servizi o qualunque ruolo di servizio.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
In alternativa, è possibile utilizzare una politica AWS gestita per fornire l'accesso completo al servizio.
Creazione di un ruolo collegato ai servizi per Amazon Lightsail
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando esporti un'istanza Lightsail o un'istantanea del disco di storage a blocchi in Amazon EC2 o crei o aggiorni un bucket Lightsail nell' AWS API AWS AWS Management Console, Amazon Lightsail crea il ruolo AWS CLI collegato al servizio per te.
Se elimini questo ruolo collegato ai servizi e devi ricrearlo di nuovo, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando esporti un'istanza Lightsail o un'istantanea del disco di storage a blocchi in Amazon EC2 o crei o aggiorni un bucket Lightsail, Amazon Lightsail crea nuovamente il ruolo collegato al servizio per te.
Importante
È necessario configurare le autorizzazioni IAM per consentire ad Amazon Lightsail di creare il ruolo collegato al servizio. Per eseguire questa operazione, completare i passaggi nella seguente sezione Autorizzazioni del ruolo collegato ai servizi.
Modifica di un ruolo collegato ai servizi per Amazon Lightsail
Amazon Lightsail non consente di modificare AWSServiceRoleForLightsail il ruolo collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione di un ruolo collegato ai servizi per Amazon Lightsail
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, devi confermare che non ci siano istanze o istantanee del disco di Amazon Lightsail in uno stato di copia in sospeso prima di poter eliminare il ruolo collegato al servizio. AWSServiceRoleForLightsail Per ulteriori informazioni, consulta Esportazione di snapshot in Amazon EC2.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM, l'o l' AWS API per AWS CLI eliminare il ruolo collegato al servizio. AWSServiceRoleForLightsail Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Regioni supportate per i ruoli collegati al servizio Amazon Lightsail
Amazon Lightsail supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni sulle regioni in cui è disponibile Lightsail, consulta Amazon Lightsail Regions.
