As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções vinculadas ao serviço para o AWS Direct Connect

O AWS Direct Connect utiliza perfis vinculados a serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao AWS Direct Connect. Os perfis vinculados a serviços são predefinidos pelo AWS Direct Connect e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do AWS Direct Connect porque você não precisa adicionar as permissões necessárias manualmente. AWS Direct Connect define as permissões de suas funções vinculadas ao serviço e, a menos que definido de outra forma, somente AWS Direct Connect pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do AWS Direct Connect, pois você não pode remover por engano as permissões de acesso aos recursos.

Para obter informações sobre outros serviços suportados por funções vinculadas a serviços, consulte Serviços da AWS Suportados pelo IAM e procure os serviços que apresentarem Sim na coluna Função Vinculada a Serviço.. Escolha Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço AWS Direct Connect

O AWS Direct Connect usa o perfil vinculada a serviço chamado AWSServiceRoleForDirectConnect. Isso permite que o AWS Direct Connect recupere os segredos MACsec armazenados em seu nome no AWS Secrets Manager.

A função vinculada ao serviço AWSServiceRoleForDirectConnect confia nos seguintes serviços para aceitar a função:

O perfil vinculado a serviço AWSServiceRoleForDirectConnect usa a política gerenciada AWSDirectConnectServiceRolePolicy.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para que o perfil vinculado a serviço AWSServiceRoleForDirectConnect seja criado com êxito, a identidade do IAM com a qual você usa o AWS Direct Connect deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "directconnect.amazonaws.com"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:GetRole",
            "Effect": "Allow",
            "Resource": "*"
       }
    ]
}

Para ter mais informações, consulte Permissões de função vinculada a serviços no Guia do usuário do IAM.

Crie uma função vinculada ao serviço para o AWS Direct Connect

Não é necessário criar manualmente um perfil vinculado a serviço. O AWS Direct Connect criará o perfil vinculado a serviço adequado para você. Quando você executar o comando associate-mac-sec-key, a AWS criará um perfil vinculado a serviço que permite que o AWS Direct Connect recupere os segredos MACsec armazenados em seu nome no AWS Secrets Manager usando o AWS Management Console, a AWS CLI ou a AWS API.

Se você excluir esse perfil vinculado a serviço e precisar criá-lo novamente, será possível aplicar o mesmo processo para recriar o perfil em sua conta. O AWS Direct Connect criará o perfil vinculado a serviço novamente.

Você também pode usar o console do IAM para criar um perfil vinculado a serviço com o caso de uso do AWS Direct Connect. Na AWS CLI ou na API do AWS, crie uma função vinculada ao serviço com o nome de serviço directconnect.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar uma função vinculada ao serviço para o AWS Direct Connect

O AWS Direct Connect não permite que você edite a função vinculada ao serviço AWSServiceRoleForDirectConnect. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o AWS Direct Connect

Você não precisa excluir manualmente a função AWSServiceRoleForDirectConnect. Ao excluir seu perfil vinculado a serviço, você deve excluir todos os recursos associados que estão armazenados no serviço Web do AWS Secrets Manager. No AWS Management Console, na AWS CLI ou na AWS API, o AWS Direct Connect limpa os recursos e exclui o perfil vinculado a serviço para você.

Também é possível usar o console do IAM para excluir o perfil vinculado a serviço. Para fazer isso, primeiro você deve limpar manualmente os recursos de seu perfil vinculado a serviço e depois excluí-lo manualmente.

Para excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForDirectConnect. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões compatíveis com funções vinculadas ao serviço do AWS Direct Connect

O AWS Direct Connect é compatível com perfis vinculados a serviço em todas as Regiões da AWS nas quais o recurso MAC Security esteja disponível. Para obter mais informações, consulte Locais do AWS Direct Connect.