Autorizzazioni del ruolo collegato ai servizi Creazione di un ruolo collegato ai servizi (IAM)Modifica della descrizione di un ruolo collegato ai servizi Eliminazione di un ruolo collegato ai servizi per MemoryDB

Utilizzo dei ruoli collegati ai servizi per MemoryDB

MemoryDB utilizza ruoli collegati al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo unico di IAM ruolo collegato direttamente a un AWS servizio, come MemoryDB. I ruoli collegati ai servizi MemoryDB sono predefiniti da MemoryDB. Includono tutte le autorizzazioni necessarie al servizio per richiamare servizi AWS per conto dei cluster.

Un ruolo collegato al servizio semplifica la configurazione di MemoryDB perché non è necessario aggiungere manualmente le autorizzazioni necessarie. I ruoli esistono già all'interno dell' AWS account ma sono collegati ai casi d'uso di MemoryDB e dispongono di autorizzazioni predefinite. Solo MemoryDB può assumere questi ruoli e solo questi ruoli possono utilizzare la politica di autorizzazioni predefinita. È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Ciò protegge le risorse di MemoryDB perché non è possibile rimuovere inavvertitamente le autorizzazioni necessarie per accedere alle risorse.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi con cui funziona IAM e cerca i servizi con Sì nella colonna Ruolo collegato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Indice

Autorizzazioni di ruolo collegate ai servizi per MemoryDB

MemoryDB utilizza il ruolo collegato al servizio denominato AWSServiceRoleForMemoryDB: questa politica consente a MemoryDB di gestire le risorse per conto dell'utente, se necessario per la gestione AWS dei cluster.

La politica di autorizzazione dei ruoli AWSServiceRoleForMemoryDB collegati al servizio consente a MemoryDB di completare le seguenti azioni sulle risorse specificate:


{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Sid": "CreateMemoryDBTagsOnNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateTags"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:CreateAction": "CreateNetworkInterface"
                    },
                    "ForAllValues:StringEquals": {
                        "aws:TagKeys": [
                            "AmazonMemoryDBManaged"
                        ]
                    }
                }
            },
            {   
                "Sid": "CreateNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateNetworkInterface"
                ],
                "Resource": [
                    "arn:aws:ec2:*:*:network-interface/*",
                    "arn:aws:ec2:*:*:subnet/*",
                    "arn:aws:ec2:*:*:security-group/*"
                ]
            },
            {
                "Sid": "DeleteMemoryDBTaggedNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:ResourceTag/AmazonMemoryDBManaged": "true"
                    }
                }
            },
            {
                "Sid": "DeleteNetworkInterfaces",
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:security-group/*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeSecurityGroups",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs"
                ],
                "Resource": "*"
            },
            {
                "Sid": "PutCloudWatchMetricData",
                "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/MemoryDB"
                    }
                }
            },
	      {
	          "Sid": "ReplicateMemoryDBMultiRegionClusterData",
		    "Effect": "Allow",
		    "Action": [
			      "memorydb:ReplicateMultiRegionClusterData"
		    ],
		    "Resource": "arn:aws:memorydb:*:*:cluster/*"
 		}
          ]
    }

Per ulteriori informazioni, consulta AWS politica gestita: M emoryDBService RolePolicy.

Per consentire a un'IAMentità di creare ruoli collegati ai servizi AWSServiceRoleForMemoryDB

Aggiungi l'istruzione della policy seguente alle autorizzazioni per l'entità IAM:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

Per consentire a un'IAMentità di eliminare i ruoli collegati al servizio AWSServiceRoleForMemoryDB

Aggiungi l'istruzione della policy seguente alle autorizzazioni per l'entità IAM:


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

In alternativa, è possibile utilizzare una policy AWS gestita per fornire l'accesso completo a MemoryDB.

Creazione di un ruolo collegato ai servizi (IAM)

È possibile creare un ruolo collegato al servizio utilizzando la IAM console, o. CLI API

Creazione di un ruolo collegato ai servizi (console IAM)

Puoi utilizzare la console IAM per creare un ruolo collegato ai servizi.

Come creare un ruolo collegato ai servizi (console)

Accedi a AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione a sinistra della IAM console, scegli Ruoli. Quindi seleziona Create new role (Crea nuovo ruolo).
In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli Service AWS .
In Oppure seleziona un servizio per visualizzarne i casi d'uso, scegli MemoryDB.
Scegli Successivo: autorizzazioni.
In Policy name (Nome policy), si noti che MemoryDBServiceRolePolicy è necessario per questo ruolo. Scegli Successivo: Tag.
Si noti che i tag non sono supportati per i ruoli collegati al servizio. Scegliere Next:Review (Successivo:Rivedi).
(Facoltativo) In Role description (Descrizione ruolo) modifica la descrizione per il nuovo ruolo collegato ai servizi.
Rivedere il ruolo e scegliere Crea ruolo.

Creazione di un ruolo collegato al servizio () IAM CLI

È possibile utilizzare IAM le operazioni di AWS Command Line Interface per creare un ruolo collegato al servizio. Questo ruolo può includere la policy di attendibilità e le policy inline che il servizio richiede per assumere il ruolo.

Per creare un ruolo collegato ai servizi (CLI)

Attenersi alle operazioni seguenti:


$ aws iam create-service-linked-role --aws-service-name memorydb.amazonaws.com

Creazione di un ruolo collegato al servizio () IAM API

È possibile utilizzare il IAM API per creare un ruolo collegato al servizio. Questo ruolo può contenere la policy di attendibilità e le policy inline che il servizio richiede per assumere il ruolo.

Per creare un ruolo collegato ai servizi (API)

Usa il CreateServiceLinkedRole APIchiamata. Nella richiesta, specificare un nome del servizio di memorydb.amazonaws.com.

Modifica della descrizione di un ruolo collegato ai servizi per MemoryDB

MemoryDB non consente di modificare il ruolo collegato al servizio. AWSServiceRoleForMemoryDB Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. Puoi tuttavia modificare la descrizione del ruolo utilizzando IAM.

Modifica della descrizione di un ruolo collegato ai servizi (console IAM)

È possibile utilizzare la console IAM per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (console)

Nel riquadro di navigazione a sinistra della IAM console, scegli Ruoli.
Scegliere il nome del ruolo da modificare.
Nella parte destra di Role description (Descrizione ruolo), scegliere Edit (Modifica).
Digita una nuova descrizione nella casella e scegli Save (Salva).

Modifica della descrizione di un ruolo collegato al servizio () IAM CLI

È possibile utilizzare IAM le operazioni di AWS Command Line Interface per modificare la descrizione di un ruolo collegato al servizio.

Per modificare la descrizione di un ruolo collegato ai servizi (CLI)

(Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizzate l'operazione AWS CLI forIAM. get-role
```
$ aws iam get-role --role-name AWSServiceRoleForMemoryDB
```
Utilizzate il nome del ruolo, non ilARN, per fare riferimento ai ruoli con le CLI operazioni. Ad esempio, se un ruolo presenta le seguenti caratteristicheARN:arn:aws:iam::123456789012:role/myrole, fate riferimento al ruolo comemyrole.

Per aggiornare la descrizione di un ruolo collegato al servizio, usa l'operazione AWS CLI forIAM. update-role-description

Per Linux, macOS o Unix:


$ aws iam update-role-description \
    --role-name AWSServiceRoleForMemoryDB \
    --description "new description"

Per Windows:


$ aws iam update-role-description ^
    --role-name AWSServiceRoleForMemoryDB ^
    --description "new description"

Modifica della descrizione di un ruolo collegato al servizio () IAM API

È possibile utilizzare il IAM API per modificare la descrizione di un ruolo collegato al servizio.

Per modificare la descrizione di un ruolo collegato ai servizi (API)

(Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizza l'operazione IAM API GetRole.


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &AUTHPARAMS

Per aggiornare la descrizione di un ruolo, usa l'IAMAPIoperazione UpdateRoleDescription.


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &Description="New description"

Eliminazione di un ruolo collegato ai servizi per MemoryDB

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.

MemoryDB non elimina automaticamente il ruolo collegato al servizio.

Pulizia di un ruolo collegato ai servizi

Prima di poter eliminare un ruolo collegato IAM al servizio, verificate innanzitutto che al ruolo non siano associate risorse (cluster).

Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM

Accedi a AWS Management Console e apri la console all'IAMindirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione a sinistra della IAM console, scegli Ruoli. Quindi scegli il nome (non la casella di controllo) del AWSServiceRoleForMemoryDB ruolo.
Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegliere la scheda Access Advisor (Consulente accessi).
Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.

Per eliminare le risorse di MemoryDB che richiedono AWSServiceRoleForMemoryDB (console)

Per eliminare un cluster, consultare i seguenti argomenti:

Eliminazione di un ruolo collegato ai servizi (console IAM)

È possibile utilizzare la console IAM per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (console)

Accedi a AWS Management Console e apri la IAM console all'indirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione a sinistra della IAM console, scegli Ruoli. Quindi, seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
In operazioni Role (Ruolo) nella parte superiore della pagina, seleziona Delete (Elimina) ruolo.
Nella pagina di conferma, esamina i dati dell'ultimo accesso al servizio, che mostrano l'ultima volta che ciascuno dei ruoli selezionati ha effettuato l'ultimo accesso a un AWS servizio. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona Yes, Delete (Sì, elimina) per richiedere l'eliminazione del ruolo collegato ai servizi.
Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Se il task non viene eseguito correttamente, puoi scegliere View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata.

Eliminazione di un ruolo collegato al servizio () IAM CLI

È possibile utilizzare IAM le operazioni di AWS Command Line Interface per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato ai servizi (CLI)

Se non conosci il nome del ruolo collegato ai servizi da eliminare, inserisci il comando seguente: Questo comando elenca i ruoli e i relativi Amazon Resource Names (ARNs) nel tuo account.
```
$ aws iam get-role --role-name role-name
```
Usa il nome del ruolo, non ilARN, per fare riferimento ai ruoli con le CLI operazioni. Ad esempio, se un ruolo ha il ARNarn:aws:iam::123456789012:role/myrole, si fa riferimento al ruolo comemyrole.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di deletion-task-iddalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, inserire quanto segue:
```
$ aws iam delete-service-linked-role --role-name role-name
```
Inserire quanto segue per verificare lo stato del processo di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Eliminazione di un ruolo collegato al servizio () IAM API

È possibile utilizzare il IAM API per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato ai servizi (API)

Per inviare una richiesta di cancellazione per un ruolo collegato al servizio, chiama DeleteServiceLinkedRole. Nella richiesta, specificare il nome del ruolo.

Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di DeletionTaskIddalla risposta per controllare lo stato del task di eliminazione.
Per verificare lo stato dell'eliminazione, chiama GetServiceLinkedRoleDeletionStatus. Nella richiesta, specificare ilDeletionTaskId.

Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Autorizzazioni a livello di risorsa

AWS politiche gestite