Usar funções vinculadas ao serviço do IAM para o DAX - Amazon DynamoDB
Permissões de função vinculada ao serviço para o DAXCriar uma função vinculada ao serviço do DAXEditar uma função vinculada ao serviço do DAXExcluir uma função vinculada ao serviço do DAX

Usar funções vinculadas ao serviço do IAM para o DAX

O Amazon DynamoDB Accelerator (DAX) usa funções vinculadas ao serviço do AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM ligada diretamente ao DAX. As funções vinculadas a serviços são predefinidas pelo DAX e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do DAX porque você não precisa adicionar as permissões necessárias manualmente. O DAX define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o DAX pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir os perfis somente depois de primeiro excluir seus recursos relacionados. Isso protege seus recursos do DAX, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas ao serviço, consulte Serviços da AWS compatíveis com o IAM no Guia do usuário do IAM. Procure os serviços que têm Yes (Sim) na coluna Service-linked roles (Funções vinculadas ao serviço). Selecione o link Yes (Sim) para exibir a documentação da função vinculada ao serviço para esse serviço.

Permissões de função vinculada ao serviço para o DAX

O DAX usa a função vinculada ao serviço chamada AWSServiceRoleForDAX. Essa função permite que o DAX chame serviços em nome do seu cluster do DAX.

Importante

A função AWSServiceRoleForDAX vinculada ao serviço facilita a configuração e a manutenção de um cluster do DAX. No entanto, ainda é necessário conceder a cada cluster acesso ao DynamoDB para que você possa usá-lo. Para ter mais informações, consulte Controle de acesso do DAX.

A função vinculada ao serviço AWSServiceRoleForDAX confia nos seguintes serviços para assumir a função:

  • dax.amazonaws.com

A política de permissões da função permite que o DAX conclua as seguintes ações nos recursos especificados:

  • Ações em ec2:

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeNetworkInterfaces

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Para permitir que uma entidade do IAM crie funções vinculadas ao serviço AWSServiceRoleForDAX

Adicione a seguinte declaração de política às permissões dessa entidade do IAM.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole"
    ],
    "Resource": "*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "dax.amazonaws.com"}}
}

Criar uma função vinculada ao serviço do DAX

Não é necessário criar manualmente uma função vinculada a serviço. Quando você cria um cluster, o DAX cria uma função vinculada ao serviço para você.

Importante

Se você usava o serviço DAX antes de 28 de fevereiro de 2018, quando ele começou a oferecer suporte às funções vinculadas ao serviço, o DAX criou a função AWSServiceRoleForDAX em sua conta. Para obter mais informações, consulte Uma nova função apareceu em minha conta da AWS no Guia do usuário do IAM.

Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria uma instância ou um cluster, o DAX cria uma função vinculada ao serviço para você novamente.

Editar uma função vinculada ao serviço do DAX

O DAX não permite editar a função vinculada ao serviço AWSServiceRoleForDAX. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço do DAX

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve excluir todos os seus clusters do DAX para poder excluir a função vinculada ao serviço.

Limpar uma função vinculada ao serviço

Antes de você poder usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar que a função não tem sessões ativas e remover quaisquer recursos usados pela função.

Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM

  1. Faça login em AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Perfis. Em seguida, selecione o nome (não a caixa de seleção) da função AWSServiceRoleForDAX.

  3. Na página Resumo para a função selecionada, escolha a guia Consultor de Acesso.

  4. Na guia Consultor de Acesso, revise a atividade recente para a função vinculada ao serviço.

    nota

    Se não tiver certeza se o DAX está usando a função AWSServiceRoleForDAX, você poderá tentar excluir a função. Se o serviço estiver usando a função, a exclusão falhará, e você poderá visualizar as regiões em que a função está sendo usada. Se a função estiver sendo usada, você deverá excluir os clusters do DAX antes de excluir a função. Você não pode revogar a sessão de uma função vinculada ao serviço.

Para remover a função AWSServiceRoleForDAX, você deverá excluir primeiro todos os seus clusters do DAX.

Excluir todos os clusters do DAX

Use um destes procedimentos para excluir cada um de seus clusters do DAX.

Para excluir um cluster do DAX (console)

  1. Abra o console do DynamoDB em https://console.aws.amazon.com/dynamodb/.

  2. No painel de navegação, em DAX, escolha Clusters.

  3. Escolha Ações e, em seguida, escolha Excluir.

  4. Na caixa de diálogo Delete cluster confirmation (Confirmar exclusão de cluster), escolha Delete (Excluir).

Para excluir um cluster do DAX (AWS CLI)

Consulte delete-cluster na Referência de comandos da AWS CLI.

Para excluir um cluster do DAX (API)

Consulte DeleteCluster na Referência da API do Amazon DynamoDB.

Excluir uma função vinculada ao serviço

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForDAX. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.