Usar perfis vinculados a serviços para Grupos de recursos - AWS Resource Groups
PermissõesCriar a função Editar o perfilExcluir o perfilRegiões com suporte a perfis vinculados a serviços dos Grupos de recursos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar perfis vinculados a serviços para Grupos de recursos

O AWS Resource Groups usa funções vinculadas ao serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviços é um tipo exclusivo de perfil do IAM vinculado diretamente aos Grupos de recursos. Os perfis vinculados ao serviço são predefinidos pelos Grupos de recursos e incluem todas as permissões que o serviço requer para chamar outros serviços da Serviços da AWS em seu nome.

Um perfil vinculado a serviços facilita a configuração dos Grupos de recursos porque você não precisa adicionar as permissões necessárias manualmente. Os Grupos de recursos define as permissões dos perfis vinculados a serviços e define políticas de confiança em cada uma, garantindo que somente o serviço dos Grupos de recursos possa assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros produtos que oferecem suporte às funções vinculadas a serviços, consulte AWS services that work with IAM (Serviços da AWS compatíveis com o IAM) e procure os serviços que apresentam Yes (Sim) na coluna Service-linked roles (Funções vinculadas a serviços). Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de perfis vinculados a serviços para Grupos de recursos

Os Grupos de recursos usam perfis vinculados a serviços para dar suporte aos eventos do ciclo de vida do grupo. Escolha o link no nome do perfil para ver o perfil no console do IAM depois de criá-lo.

Os Grupos de recursos usam as permissões desse perfil para consultar os proprietários da Serviços da AWS de seus recursos para ajudar a resolver a associação ao grupo e manter o grupo atualizado. Ele permite que os Grupos de recursos emitam eventos relacionados a serviços para o serviço Amazon EventBridge.

O perfil vinculado a serviços AWSServiceRoleForResourceGroups confia somente no seguinte serviço para assumir o perfil:

  • resourcegroups.amazonaws.com

As permissões anexadas ao perfil vêm da seguinte política gerenciada pela AWS. Escolha o link no nome da política para visualizar a política no console do IAM.

Criar um perfil vinculado a serviços para Grupos de recursos

Importante

Este perfil vinculado a serviços pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para obter mais informações, consulte Um novo perfil apareceu em minha Conta da AWS.

Para criar o perfil vinculado a serviços, ative o atributo de eventos do ciclo de vida do grupo.

Como editar um perfil vinculado a serviços para Grupos de recursos

Os Grupos de recursos não permitem editar o perfil vinculado a serviços AWSServiceRoleForResourceGroups. Depois que você criar uma função vinculada a serviço, não poderá alterar o nome da função, pois várias entidades podem fazer referência à função. No entanto, você poderá editar a descrição da função usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Como excluir um perfil vinculado a serviços para Grupos de recursos

Você pode excluir o perfil vinculado a serviços somente após desativar o atributo de eventos do ciclo de vida do grupo.

Importante

  • A AWS impede que você remova o perfil vinculado a serviços até que você primeiro desative o atributo de eventos do ciclo de vida do grupo que o criou.

  • Recomendamos que você não exclua o perfil vinculado a serviços, desde que tenha Grupos de recursos em sua Conta da AWS. O serviço dos Grupos de recursos não poderá interagir com outros Serviços da AWS para gerenciar seus grupos se você excluir esse perfil.

Excluir manualmente a função vinculada ao serviço

Use o console do IAM, a AWS CLI ou a AWS API para excluir o perfil vinculado a serviços AWSServiceRoleForResourceGroups. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Console
Para excluir o perfil vinculado a serviços dos grupos de serviço

  1. Abra a página Perfis no console do IAM.

  2. Encontre o perfil chamado AWSServiceRoleForResourceGroups e marque a caixa de seleção ao lado dele.

  3. Escolha Delete (Excluir).

  4. Confirme sua intenção de excluir o perfil inserindo o nome dele na caixa e, em seguida, escolha Excluir.

O perfil desaparece da sua lista de perfis no console do IAM.

AWS CLI
Para excluir o perfil vinculado a serviços dos grupos de serviço

Para excluir o perfil, digite o comando a seguir com os parâmetros exatamente como mostrados. Não substitua nenhum dos valores.

$ aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForResourceGroups
{
    "DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}

O comando retorna um ID de tarefa. A exclusão real do perfil ocorre de forma assíncrona. Você pode verificar o status da exclusão do perfil passando o identificador de tarefa fornecido para o seguinte comando da AWS CLI.

$ aws iam get-service-linked-role-deletion-status \
    --deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
    "Status": "SUCCEEDED"
}

Regiões com suporte a perfis vinculados a serviços dos Grupos de recursos

Os Grupos de recursos oferecem suporte perfis vinculados a serviços em todas as Regiões da AWS em que o serviço estiver disponível. Para obter mais informações, consulte Regiões e endpoints do AWS.