As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Uso de funções vinculadas ao serviço para o Amazon MQ
O Amazon MQ usa funções vinculadas ao serviço do AWS Identity and Access Management IAM. A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao Amazon MQ. As funções vinculadas a serviços são predefinidas pelo Amazon MQ e incluem todas as permissões que o serviço requer para chamar outros produtos da AWS em seu nome.
Uma função vinculada ao serviço facilita a configuração do Amazon MQ porque você não precisa adicionar as permissões necessárias manualmente. O Amazon MQ define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Amazon MQ pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.
Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do Amazon MQ, pois você não pode remover por engano as permissões para acessar os recursos.
Para mais informações sobre outros serviços que são compatíveis com funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM e procure por serviços que contêm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para exibir a documentação da função vinculada a serviço desse serviço.
Permissões de função vinculada ao serviço para o Amazon MQ
O Amazon MQ usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonMQ — O Amazon MQ usa essa função vinculada ao serviço para chamar os serviços AWS em seu nome.
A função vinculada ao serviço AWSServiceRoleForAmazonMQ confia nos seguintes serviços para assumir a função:
-
mq.amazonaws.com
O Amazon MQ usa a política de permissão AmazonMQServiceRolePolicy
-
Ação:
ec2:CreateVpcEndpointno recursovpc. -
Ação:
ec2:CreateVpcEndpointno recursosubnet. -
Ação:
ec2:CreateVpcEndpointno recursosecurity-group. -
Ação:
ec2:CreateVpcEndpointno recursovpc-endpoint. -
Ação:
ec2:DescribeVpcEndpointsno recursovpc. -
Ação:
ec2:DescribeVpcEndpointsno recursosubnet. -
Ação:
ec2:CreateTagsno recursovpc-endpoint. -
Ação:
logs:PutLogEventsno recursolog-group. -
Ação:
logs:DescribeLogStreamsno recursolog-group. -
Ação:
logs:DescribeLogGroupsno recursolog-group. -
Ação:
CreateLogStreamno recursolog-group. -
Ação:
CreateLogGroupno recursolog-group.
Quando você cria um Amazon MQ para agente RabbitMQ, a política de permissão AmazonMQServiceRolePolicy do Amazon MQ realize as seguintes tarefas em seu nome.
Cria um endpoint da Amazon VPC para o agente usando o Amazon VPC, a sub-rede e o grupo de segurança que você fornece. Você pode usar o endpoint criado para que seu agente se conecte ao agente por meio do console de gerenciamento RabbitMQ, da API de gerenciamento ou de forma programática.
Crie grupos de logs e publique logs do agente no Amazon CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" ] } ] }
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de função vinculada ao serviço no Guia do usuário do IAM.
Criação de uma função vinculada ao serviço para Amazon MQ
Você não precisa criar manualmente uma função vinculada a serviço. Ao criar um agente da pela primeira vez, o Amazon MQ cria uma função vinculada ao serviço para chamar o AWS em seu nome. Todos os agentes subsequentes que você criar usarão a mesma função e nenhuma nova função será criada.
Importante
Essa função vinculada ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os recursos compatíveis com essa função. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.
Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta.
Você também pode usar o console do IAM para criar uma função vinculada ao serviço com o caso de uso do Amazon MQ. Na AWS CLI ou na API do AWS, crie uma função vinculada ao serviço com o nome de serviço mq.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
Edição de uma função vinculada ao serviço do Amazon MQ
O Amazon MQ não permite que você edite a função vinculada ao serviço AWSServiceRoleForAmazonMQ. No entanto, você poderá editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Exclusão de uma função vinculada ao serviço do Amazon MQ
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.
nota
Se o serviço do Amazon MQ estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos do Amazon MQ usados por AWSServiceRoleForAmazonMQ
-
Exclua seus agentes do Amazon MQ usando o AWS Management Console, Amazon MQ CLI ou Amazon MQ API. Para obter mais informações sobre como excluir um agente, consulte Deleting a broker.
Como excluir manualmente a função vinculada ao serviço usando o IAM
Use o console do IAM, AWS CLI ou a API AWS para excluir a função vinculada a serviço AWSServiceRoleForAmazonMQ. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Regiões compatíveis com as funções vinculadas a serviços do Amazon MQ
O Amazon MQ é compatível com as funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints do AWS.
| Nome da região | Identidade da região | Compatível com o Amazon MQ |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| US West (N. California) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| Asia Pacific (Mumbai) | ap-south-1 | Sim |
| Asia Pacific (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Canada (Central) | ca-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europe (London) | eu-west-2 | Sim |
| Europe (Paris) | eu-west-3 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| AWS GovCloud (US) | us-gov-west-1 | Não |
