Permissões de perfil vinculado a serviço para o S3 no Outposts Criar um perfil vinculado a serviço para o S3 no Outposts Editar um perfil vinculado a serviço para o S3 no Outposts Excluir um perfil vinculado a serviço para o S3 no Outposts Regiões compatíveis com perfis vinculados a serviço do S3 no Outposts

Usar perfis vinculados a serviço para o Amazon S3 no Outposts

O Amazon S3 no Outposts usa perfis vinculados a serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao S3 no Outposts. Os perfis vinculados a serviço são predefinidos pelo S3 no Outposts e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Um perfil vinculado a serviço facilita a configuração do S3 no Outposts porque você não precisa adicionar as permissões necessárias manualmente. O S3 no Outposts define as permissões dos perfis vinculados a serviço. Além disso, exceto se definido de outra forma, somente o S3 no Outposts pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege os recursos do S3 no Outposts, pois não é possível remover por engano a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados aos serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Funções vinculadas aos serviços. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de perfil vinculado a serviço para o S3 no Outposts

O S3 no Outposts usa o perfil vinculado a serviço denominado AWSServiceRoleForS3OnOutposts para ajudar a gerenciar recursos de rede para você.

A função vinculada ao serviço AWSServiceRoleForS3OnOutposts confia nos seguintes serviços para aceitar a função:

s3-outposts.amazonaws.com

A política de permissões do perfil denominada AWSS3OnOutpostsServiceRolePolicy permite que o S3 no Outposts conclua as seguintes ações nos recursos especificados:


{
    "Version": "2012-10-17",
    "Statement": [{
            "Effect": "Allow",
            "Action": [
                "ec2:DescribeSubnets",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeVpcs",
                "ec2:DescribeCoipPools",
                "ec2:GetCoipPoolUsage",
                "ec2:DescribeAddresses",
                "ec2:DescribeLocalGatewayRouteTableVpcAssociations"
            ],
            "Resource": "*",
            "Sid": "DescribeVpcResources"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:subnet/*",
                "arn:aws:ec2:*:*:security-group/*"
            ],
            "Sid": "CreateNetworkInterface"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CreatedBy": "S3 On Outposts"
                }
            },
            "Sid": "CreateTagsForCreateNetworkInterface"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AllocateAddress"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:ipv4pool-ec2/*"
            ],
            "Sid": "AllocateIpAddress"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:AllocateAddress"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:elastic-ip/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:RequestTag/CreatedBy": "S3 On Outposts"
                }
            },
            "Sid": "CreateTagsForAllocateIpAddress"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:CreateNetworkInterfacePermission",
                "ec2:DeleteNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DisassociateAddress",
                "ec2:ReleaseAddress",
                "ec2:AssociateAddress"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/CreatedBy": "S3 On Outposts"
                }
            },
            "Sid": "ReleaseVpcResources"
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": [
                        "CreateNetworkInterface",
                        "AllocateAddress"
                    ],
                    "aws:RequestTag/CreatedBy": [
                        "S3 On Outposts"
                    ]
                }
            },
            "Sid": "CreateTags"
        }
    ]
}

É necessário configurar permissões para que uma entidade do IAM (por exemplo, um perfil) crie, edite ou exclua um perfil vinculado a serviço. Para ter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.

Criar um perfil vinculado a serviço para o S3 no Outposts

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria um endpoint do S3 no Outposts no AWS Management Console, a AWS CLI ou a API da AWS, o S3 no Outposts cria o perfil vinculado a serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria um endpoint do S3 no Outposts, o S3 no Outposts cria o perfil vinculado a serviço para você novamente.

Também é possível usar o console do IAM para criar um perfil vinculado a serviço com o caso de uso do S3 no Outposts. Na AWS CLI ou na API do AWS, crie uma função vinculada ao serviço com o nome de serviço s3-outposts.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar um perfil vinculado a serviço para o S3 no Outposts

O S3 no Outposts não permite editar o perfil vinculado a serviço AWSServiceRoleForS3OnOutposts. Isso inclui o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição da função usando o IAM. Para ter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir um perfil vinculado a serviço para o S3 no Outposts

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o serviço do S3 no Outposts estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Como excluir recursos do S3 no Outposts usados pelo perfil AWSServiceRoleForS3OnOutposts

Exclua os endpoints do S3 no Outposts na Conta da AWS em todas as Regiões da AWS.
Exclua o perfil vinculado a serviço usando o IAM.

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForS3OnOutposts. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões compatíveis com perfis vinculados a serviço do S3 no Outposts

O S3 no Outposts aceita o uso de perfis vinculados a serviço em todas as Regiões da AWS em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints do S3 no Outposts.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Políticas gerenciadas pela AWS

Gerenciar o armazenamento do S3 on Outposts