Funções vinculadas ao serviço em clusters elásticos - Amazon DocumentDB

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções vinculadas ao serviço em clusters elásticos

Os clusters elásticos do Amazon DocumentDB usam funções vinculadas a serviços AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculada diretamente aos clusters elásticos do Amazon DocumentDB. Os perfis vinculados ao serviço são definidos previamente pelos clusters elásticos do Amazon DocumentDB e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a utilização dos clusters elásticos do Amazon DocumentDB, já que não é preciso adicionar as permissões necessárias manualmente. Os clusters elásticos do Amazon DocumentDB definem as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente os clusters elásticos do Amazon DocumentDB poderão assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM. É possível excluir as funções somente depois de primeiro excluir seus recursos relacionados. Isso protege seus recursos dos clusters elásticos do Amazon DocumentDB, pois você não pode remover por engano as permissões necessárias para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte serviços AWS que funcionam com IAM e procure os serviços marcados com Sim na coluna Função vinculada a serviços. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculadas ao serviço para clusters elásticos

Os clusters elásticos Amazon DocumentDB utilizam a função vinculada a serviço chamada AWSServiceRoleForDocDB-Elastic para permitir que clusters elásticos Amazon DocumentDB chamem serviços AWS em nome de seus clusters.

Essa função vinculada a serviços tem uma política de permissões anexada a ela, chamada AmazonDocDB-ElasticServiceRolePolicy, que concede permissões para operar na conta. A política de permissões de função permite que os clusters elásticos do Amazon DocumentDB concluam as seguintes ações nos recursos especificados:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": "*", "Condition": { "StringEquals": { "cloudwatch:namespace": [ "AWS/DocDB-Elastic" ] } } } ] }
nota

Você deve configurar as permissões para permitir que uma entidade IAM (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Se encontrar a seguinte mensagem de erro: “Não foi possível criar o recurso. Você se você tem permissão para criar o perfil vinculado ao serviço. Caso contrário, aguarde e tente novamente mais tarde.” , verifique se você tem as seguintes permissões ativadas:

{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic", "Condition": { "StringLike": { "iam:AWSServiceName":"docdb-elastic.amazonaws.com" } } }

Para obter mais informações, consulte Permissões de funções vinculadas a serviços no Guia de usuário de gerenciamento de acesso e identidade AWS.

Criação de uma função vinculada ao serviço para clusters elásticos do Amazon DocumentDB

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma instância de BD, o Amazon DocumentDB elastic clusters cria a função vinculada ao serviço para você.

Editar um perfil vinculado ao serviço para clusters elásticos do Amazon DocumentDB

Os clusters elásticos do Amazon DocumentDB não permitem que você edite a função vinculada ao serviço AWSServiceRoleForDocDB-Elastic. Depois de criar uma função vinculada a um serviço, você não poderá alterar o nome da função porque várias entidades poderão fazer referência a ela. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário de gerenciamento de acesso e identidade AWS.

Exclusão de uma função vinculada ao serviço para clusters elásticos do Amazon DocumentDB

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não terá uma entidade não utilizada que não seja ativamente monitorada ou mantida. No entanto, você deve excluir todos os clusters antes de excluir a função vinculada ao serviço.

Limpar uma função vinculada ao serviço

Antes de usar o IAM para excluir uma função vinculada a um serviço, você deve primeiro confirmar que a função não tem sessões ativas e remover todos os recursos usados por ela.

Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM:

  1. Faça login no AWS Management Console e abra o console do IAM.

  2. No painel de navegação do console do IAM, escolha Funções. A seguir, selecione o nome (não a caixa de seleção) da função AWSServiceRoleForDocDB-Elastic.

  3. Na página Resumo do perfil escolhido, escolha a guia Consultor de acesso.

nota

Se não tiver certeza se os clusters elásticos do Amazon DocumentDB estão usando a função AWSServiceRoleForDocDB-Elastic, é possível tentar excluir a função. Se o serviço estiver usando a função, a exclusão falhará e será possível visualizar as regiões da Regiões da AWS em que a função está sendo usada. Se a função está sendo usada, você deve aguardar a sessão final antes de excluir a função. Não é possível revogar a sessão de uma função vinculada a um serviço.

Se quiser remover a função AWSServiceRoleForDocDB-Elastic, você deve primeiro excluir todos os clusters.

Exclusão de todos os Clusters

Para excluir um cluster no console do Amazon DocumentDB:

  1. Faça login AWS Management Console e abra o console do Amazon DocumentDB.

  2. No painel de navegação, escolha Clusters.

  3. Escolha o cluster que você deseja excluir.

  4. Em Ações, escolha Excluir.

  5. Se for exibido Criar snapshot final?, escolha Sim ou Não.

  6. Se você escolher Sim na etapa anterior, em Nome do snapshot final, digite o nome do snapshot final.

  7. Escolha Excluir.

nota

É possível usar o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForDocDB-Elastic. Para obter mais informações, consulte Excluir uma função vinculada a serviço no Guia de usuário de gerenciamento de acesso e identidade AWS.