Funções vinculadas ao serviço em clusters elásticos - Amazon DocumentDB
Permissões de função vinculadas ao serviço para clusters elásticos

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções vinculadas ao serviço em clusters elásticos

Os clusters elásticos do Amazon DocumentDB usam AWS Identity and Access Management (IAM) funções vinculadas a serviços. Uma função vinculada a serviços é um tipo exclusivo de IAM função vinculada diretamente aos clusters elásticos do Amazon DocumentDB. As funções vinculadas ao serviço são predefinidas pelos clusters elásticos do Amazon DocumentDB e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a utilização dos clusters elásticos do Amazon DocumentDB, já que não é preciso adicionar as permissões necessárias manualmente. Os clusters elásticos do Amazon DocumentDB definem as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente os clusters elásticos do Amazon DocumentDB poderão assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade. É possível excluir as funções somente depois de primeiro excluir seus recursos relacionados. Isso protege seus recursos dos clusters elásticos do Amazon DocumentDB, pois você não pode remover por engano as permissões necessárias para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS serviços que funcionam com IAM e procure os serviços marcados com Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculadas ao serviço para clusters elásticos

Os clusters elásticos do Amazon DocumentDB usam a função vinculada ao serviço nomeada AWS ServiceRoleForDocDB-Elastic para permitir que os clusters elásticos do Amazon DocumentDB chamem AWS serviços em nome dos seus clusters.

Essa função vinculada a serviços tem uma política de permissões anexada a ela, chamada AmazonDocDB-ElasticServiceRolePolicy, que concede permissões para operar na conta. A política de permissões de função permite que os clusters elásticos do Amazon DocumentDB concluam as seguintes ações nos recursos especificados:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/DocDB-Elastic"
                    ]
                }
            }
        }
    ]
}
nota

Você deve configurar permissões para permitir que uma IAM entidade (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Se encontrar a seguinte mensagem de erro: “Não foi possível criar o recurso. Você se você tem permissão para criar o perfil vinculado ao serviço. Caso contrário, aguarde e tente novamente mais tarde.” , verifique se você tem as seguintes permissões ativadas:


{
"Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
    "Condition": {
"StringLike": {
"iam:AWSServiceName":"docdb-elastic.amazonaws.com"
        }
    }
}

Para obter mais informações, consulte Permissões de funções vinculadas a serviços no Guia de usuário de gerenciamento de acesso e identidade AWS .

Criação de uma função vinculada ao serviço para clusters elásticos do Amazon DocumentDB

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma instância de BD, o Amazon DocumentDB elastic clusters cria a função vinculada ao serviço para você.

Editar um perfil vinculado ao serviço para clusters elásticos do Amazon DocumentDB

Os clusters elásticos do Amazon DocumentDB não permitem que você edite a função vinculada ao serviço AWS ServiceRoleForDocDB-Elastic. Depois de criar uma função vinculada a um serviço, você não poderá alterar o nome da função porque várias entidades poderão fazer referência a ela. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário de gerenciamento de acesso e identidade AWS .

Exclusão de uma função vinculada ao serviço para clusters elásticos do Amazon DocumentDB

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não terá uma entidade não utilizada que não seja ativamente monitorada ou mantida. No entanto, você deve excluir todos os clusters antes de excluir a função vinculada ao serviço.

Limpar um perfil vinculado ao serviço

Antes de poder usar IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar se a função não tem sessões ativas e remover os recursos usados pela função.

Para verificar se a função vinculada ao serviço tem uma sessão ativa no IAM console:

  1. Faça login no AWS Management Consolee abra o IAM console.

  2. No painel de navegação do IAM console, escolha Funções. A seguir, selecione o nome (não a caixa de seleção) da função AWS ServiceRoleForDocDB-Elastic.

  3. Na página Resumo do perfil escolhido, escolha a guia Consultor de acesso.

nota

Se não tiver certeza se os clusters elásticos do Amazon DocumentDB estão usando a função AWS ServiceRoleForDocDB-Elastic, é possível tentar excluir a função. Se o serviço estiver usando a função, a exclusão falhará e você poderá ver Regiões da AWS onde a função está sendo usada. Se a função está sendo usada, você deve aguardar a sessão final antes de excluir a função. Não é possível revogar a sessão de uma função vinculada a um serviço.

Se quiser remover a função AWS ServiceRoleForDocDB-Elastic, você deve primeiro excluir todos os clusters.

Exclusão de todos os Clusters

Para excluir um cluster no console do Amazon DocumentDB:

  1. Faça login AWS Management Console e abra o console do Amazon DocumentDB.

  2. No painel de navegação, escolha Clusters.

  3. Escolha o cluster que você deseja excluir.

  4. Em Ações, escolha Excluir.

  5. Se for exibido Criar snapshot final?, escolha Sim ou Não.

  6. Se você escolher Sim na etapa anterior, em Nome do snapshot final, digite o nome do snapshot final.

  7. Escolha Excluir.

nota

Você pode usar o IAM console IAMCLI, o ou o IAM API para excluir a função AWS ServiceRoleForDocDB-Elastic vinculada ao serviço. Para obter mais informações, consulte Excluir uma função vinculada a serviço no Guia de usuário de gerenciamento de acesso e identidade AWS .