Autorizzazioni del ruolo collegato ai servizi Creazione di un ruolo collegato ai servizi (IAM)Modifica della descrizione di un ruolo collegato ai servizi Eliminazione di un ruolo collegato al servizio per Amazon Timestream for InfluxDB Regioni supportate per i ruoli collegati al servizio Amazon Timestream for InfluxDB

Utilizzo di ruoli collegati ai servizi per Amazon Timestream for InfluxDB

Amazon Timestream for InfluxDB AWS Identity and Access Management utilizza ruoli collegati ai servizi (IAM). Un ruolo collegato al servizio è un tipo unico di ruolo IAM collegato direttamente a un AWS servizio, come Amazon Timestream per InfluxDB. I ruoli collegati ai servizi di Amazon Timestream for InfluxDB sono predefiniti da Amazon Timestream per InfluxDB. Includono tutte le autorizzazioni richieste dal servizio per chiamare i servizi per conto delle tue istanze di database. AWS

Un ruolo collegato al servizio semplifica la configurazione di Amazon Timestream per InfluxDB perché non è necessario aggiungere manualmente le autorizzazioni necessarie. I ruoli esistono già nel tuo AWS account ma sono collegati ai casi d'uso di Amazon Timestream for InfluxDB e dispongono di autorizzazioni predefinite. Solo Amazon Timestream for InfluxDB può assumere questi ruoli e solo questi ruoli possono utilizzare la politica di autorizzazioni predefinita. È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questo protegge le tue risorse Amazon Timestream for InfluxDB perché non puoi rimuovere inavvertitamente le autorizzazioni necessarie per accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruolo associato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Indice

Autorizzazioni di ruolo collegate ai servizi per Amazon Timestream for InfluxDB

Amazon Timestream for InfluxDB utilizza il ruolo collegato al servizio AmazonTimestreamInfluxDBServiceRolePolicydenominato: questa politica consente a Timestream for InfluxDB di gestire le risorse per tuo conto, se necessario AWS per la gestione dei tuoi cluster.

La politica AmazonTimestreamInflux DBService RolePolicy di autorizzazione dei ruoli collegati al servizio consente ad Amazon Timestream for InfluxDB di completare le seguenti azioni sulle risorse specificate:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DescribeNetworkStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfaces"
			],
			"Resource": "*"
		},
		{
			"Sid": "CreateEniInSubnetStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Sid": "CreateEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "CreateTagWithEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				},
				"StringEquals": {
					"ec2:CreateAction": [
						"CreateNetworkInterface"
					]
				}
			}
		},
		{
			"Sid": "ManageEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "PutCloudWatchMetricsStatement",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": [
						"AWS/Timestream/InfluxDB",
						"AWS/Usage"
					]
				}
			},
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ManageSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret",
				"secretsmanager:DeleteSecret"
			],
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:READONLY-InfluxDB-auth-parameters-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Per consentire a un'entità IAM di creare ruoli collegati ai servizi AmazonTimestreamInflux DBService RolePolicy

Aggiungi la seguente istruzione di policy alle autorizzazioni per l'entità IAM.


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

Per consentire a un'entità IAM di eliminare i ruoli collegati ai servizi AmazonTimestreamInflux DBService RolePolicy

Aggiungi la seguente istruzione di policy alle autorizzazioni per l'entità IAM.


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

In alternativa, puoi utilizzare una policy AWS gestita per fornire l'accesso completo ad Amazon Timestream for InfluxDB.

Creazione di un ruolo collegato ai servizi (IAM)

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un'istanza DB, Amazon Timestream per InfluxDB crea il ruolo collegato al servizio per te.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un'istanza DB, Amazon Timestream per InfluxDB crea nuovamente il ruolo collegato al servizio per te.

Modifica della descrizione di un ruolo collegato ai servizi per Amazon Timestream for InfluxDB

Amazon Timestream for InfluxDB non consente di modificare il ruolo collegato al servizio. AmazonTimestreamInflux DBService RolePolicy Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM.

Modifica della descrizione di un ruolo collegato ai servizi (console di IAM)

È possibile utilizzare la console di IAM per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (console)

Nel riquadro di navigazione a sinistra della console IAM, scegli Ruoli.
Scegliere il nome del ruolo da modificare.
Nella parte destra di Role description (Descrizione ruolo), scegliere Edit (Modifica).
Digita una nuova descrizione nella casella e scegli Save (Salva).

Modifica della descrizione di un ruolo collegato ai servizi (CLI di IAM)

Puoi utilizzare le operazioni IAM da AWS Command Line Interface per modificare una descrizione del ruolo collegato al servizio.

Per modificare la descrizione di un ruolo collegato ai servizi (CLI)

(Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizza l'operazione AWS CLI for IAM. get-role
```
$ aws iam get-role --role-name AmazonTimestreamInfluxDBServiceRolePolicy
```
Utilizzare il nome del ruolo, non l'ARN, per fare riferimento ai ruoli con le operazioni CLI. Ad esempio, per fare riferimento a un ruolo il cui ARN è arn:aws:iam::123456789012:role/myrole, puoi usare myrole.

Per aggiornare la descrizione di un ruolo collegato al servizio, utilizza l'operazione AWS CLI for IAM. update-role-description

Linux e macOS


$ aws iam update-role-description \
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy \
    --description "new description"

Windows


$ aws iam update-role-description ^
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy ^
    --description "new description"

Modifica della descrizione di un ruolo collegato ai servizi (API di IAM)

È possibile utilizzare l'API di IAM per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (API)

(Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizza l'operazione API IAM GetRole.


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &AUTHPARAMS

Per aggiornare la descrizione di un ruolo, utilizza l'operazione API IAM UpdateRoleDescription.


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &Description="New description"

Eliminazione di un ruolo collegato al servizio per Amazon Timestream for InfluxDB

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.

Amazon Timestream for InfluxDB non elimina automaticamente il ruolo collegato al servizio.

Pulizia di un ruolo collegato ai servizi

Prima di poter utilizzare IAM per eliminare un ruolo collegato al servizio, verifica innanzitutto che al ruolo non siano associate risorse (cluster).

Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM

Accedi AWS Management Console e apri la console IAM all'indirizzo. https://console.aws.amazon.com/iam/
Nel riquadro di navigazione a sinistra della console IAM, scegli Ruoli. Quindi scegli il nome (non la casella di controllo) del AmazonTimestreamInflux DBService RolePolicy ruolo.
Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegliere la scheda Access Advisor (Consulente accessi).
Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.

Eliminazione di un ruolo collegato ai servizi (console di IAM)

È possibile utilizzare la console IAM per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (console)

Accedi AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel riquadro di navigazione a sinistra della console IAM, scegli Ruoli. Quindi, seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
In operazioni Role (Ruolo) nella parte superiore della pagina, seleziona Delete (Elimina) ruolo.
Nella pagina di conferma, esamina i dati dell'ultimo accesso al servizio, che mostrano l'ultima volta che ciascuno dei ruoli selezionati ha effettuato l'ultimo accesso a un AWS servizio. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona Yes, Delete (Sì, elimina) per richiedere l'eliminazione del ruolo collegato ai servizi.
Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Se il task non viene eseguito correttamente, puoi scegliere View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata.

Eliminazione di un ruolo collegato ai servizi (CLI di IAM)

Puoi utilizzare le operazioni IAM da AWS Command Line Interface per eliminare un ruolo collegato al servizio.

Per eliminare un ruolo collegato ai servizi (CLI)

Se non conosci il nome del ruolo collegato ai servizi da eliminare, inserisci il comando seguente: Questo comando elenca i ruoli e i relativi Amazon Resource Names (ARNs) nel tuo account.
```
$ aws iam get-role --role-name role-name
```
Utilizzare il nome del ruolo, non l'ARN, per fare riferimento ai ruoli con le operazioni CLI. Ad esempio, per fare riferimento a un ruolo il cui ARN è arn:aws:iam::123456789012:role/myrole, puoi usare myrole.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di deletion-task-iddalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, inserire quanto segue:
```
$ aws iam delete-service-linked-role --role-name role-name
```
Inserire quanto segue per verificare lo stato del processo di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Eliminazione di un ruolo collegato ai servizi (API di IAM)

È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (API)

Per inviare una richiesta di cancellazione per un roll collegato a un servizio, chiama DeleteServiceLinkedRole. Nella richiesta, specificare il nome del ruolo.

Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di DeletionTaskIddalla risposta per controllare lo stato del task di eliminazione.
Per verificare lo stato dell'eliminazione, chiama GetServiceLinkedRoleDeletionStatus. Nella richiesta, specificare ilDeletionTaskId.

Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Regioni supportate per i ruoli collegati al servizio Amazon Timestream for InfluxDB

Amazon Timestream for InfluxDB supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Endpoint del servizio AWS.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Controllo dell'accesso a un'istanza DB in un VPC

AWS politiche gestite