As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções vinculadas a serviços para AWS CloudHSM
A política do IAM que você criou anteriormente Políticas gerenciadas pelo cliente para AWS CloudHSM inclui a iam:CreateServiceLinkedRole ação. AWS CloudHSM define uma função vinculada ao serviço chamada. AWSServiceRoleForCloudHSM A função é predefinida AWS CloudHSM e inclui permissões que AWS CloudHSM exigem chamar outros AWS serviços em seu nome. A função facilita a configuração de um serviço, pois você não precisa adicionar manualmente as permissões das políticas de função e de confiança.
A política de função permite AWS CloudHSM criar grupos e fluxos de log do Amazon CloudWatch Logs e gravar eventos de log em seu nome. Você pode visualizar essa política abaixo e no console do IAM.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
A política de confiança da AWSServiceRoleForCloudHSMfunção permite que você assuma AWS CloudHSM a função.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Criar uma função vinculada a serviços (automática)
AWS CloudHSM cria a AWSServiceRoleForCloudHSMfunção ao criar um cluster se você incluir a iam:CreateServiceLinkedRole ação nas permissões definidas ao criar o grupo de AWS CloudHSM administradores. Consulte Políticas gerenciadas pelo cliente para AWS CloudHSM.
Se você já tem um ou mais clusters e quer apenas adicionar a AWSServiceRoleForCloudHSMfunção, você pode usar o console, o comando create-cluster ou a operação da CreateClusterAPI para criar um cluster. Em seguida, use o console, o comando delete-cluster ou a operação da DeleteClusterAPI para excluí-lo. Criar outro cluster cria a função vinculada ao serviço e a aplica a todos os clusters em sua conta. Como alternativa, você pode criar a função manualmente. Para obter mais informações, consulte a seção a seguir.
nota
Você não precisa executar todas as etapas descritas em Começando com AWS CloudHSM para criar um cluster se estiver apenas criando-o para adicionar a AWSServiceRoleForCloudHSMfunção.
Criar uma função vinculada a serviços (manual)
Você pode usar o console do IAM ou a API para criar a AWSServiceRoleForCloudHSMfunção. AWS CLI Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Edição da função vinculada ao serviço
AWS CloudHSM não permite que você edite a AWSServiceRoleForCloudHSMfunção. Por exemplo, depois que a função é criada, você não pode alterar o seu nome, pois várias entidades podem fazer referência à função pelo nome. Além disso, você não pode alterar a política da função. É possível, no entanto, usar o IAM para editar a descrição da função. Para obter mais informações, consulte Editar uma função vinculada ao serviço no Guia do usuário do IAM.
Excluindo uma função vinculada ao serviço
Não é possível excluir uma função vinculada ao serviço enquanto ainda houver um cluster aplicado a ela. Para excluir a função, você deve primeiro excluir cada HSM do cluster e, em seguida, excluir o cluster. Todos os clusters de sua conta devem ser excluídos. Em seguida, você pode usar o console do IAM ou a API para excluir a função. AWS CLI Para obter mais informações sobre a exclusão de um cluster, consulte Excluindo um cluster AWS CloudHSM. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
