Como usar perfis vinculados a serviço no Amazon FSx - FSx para Lustre
Permissões de perfil vinculado ao serviço para o Amazon FSxComo criar um perfil vinculado ao serviço para o Amazon FSxEdição de um perfil vinculado ao serviço do Amazon FSxExclusão de um perfil vinculado ao serviço do Amazon FSxRegiões com suporte para os perfis vinculados a serviço do Amazon FSx

Como usar perfis vinculados a serviço no Amazon FSx

O Amazon FSx usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon FSx. Os perfis vinculados a serviço são predefinidos pelo Amazon FSx e incluem todas as permissões que o serviço exige para chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon FSx porque você não precisa adicionar as permissões necessárias manualmente. O Amazon FSx define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon FSx poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do Amazon FSx, uma vez que você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados aos serviços. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de perfil vinculado ao serviço para o Amazon FSx

O Amazon FSx usa dois perfis vinculados a serviço chamados AWSServiceRoleForAmazonFSx e AWSServiceRoleForFSxS3Access_fs-01234567890 que executam determinadas ações em sua conta. Exemplos dessas ações são criar interfaces de rede elástica para seus sistemas de arquivos em sua VPC e acessar seu repositório de dados em um bucket do Amazon S3. Para AWSServiceRoleForFSxS3Access_fs-01234567890, esse perfil vinculado ao serviço é criado para cada sistema de arquivos do Amazon FSx para Lustre que você cria e que está vinculado a um bucket do S3.

Detalhes das permissões AWSServiceRoleForAmazonFSx

Para AWSServiceRoleForAmazonFSx, a política de permissões de perfil permite que o Amazon FSx conclua as seguintes ações administrativas em nome do usuário em todos os recursos aplicáveis da AWS:

Para as atualizações dessa política, consulte AmazonFSxServiceRolePolicy.

nota

O AWSServiceRoleForAmazonFSx é usado por todos os tipos de sistema de arquivos do Amazon FSx; algumas das permissões listadas não são aplicáveis ao FSx para Lustre.

  • ds: permite que o Amazon FSx visualize, autorize e não autorize aplicações em seu diretório do AWS Directory Service.

  • ec2: permite que o Amazon FSx faça o seguinte:

    • Visualizar, criar e desassociar interfaces de rede associadas a um sistema de arquivos do Amazon FSx.

    • Visualizar um ou mais endereços IP elásticos associados a um sistema de arquivos do Amazon FSx.

    • Visualizar Amazon VPCs, grupos de segurança e sub-redes associados a um sistema de arquivos do Amazon FSx.

    • Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança passíveis de uso com uma VPC.

    • Criar uma permissão para que um usuário autorizado pela AWS realize determinadas operações em uma interface de rede.

  • cloudwatch: permite que o Amazon FSx publique pontos de dados de métrica no CloudWatch sob o namespace AWS/FSx.

  • route53: permite que o Amazon FSx associe uma Amazon VPC a uma zona hospedada privada.

  • logs: permite que o Amazon FSx descreva e grave nos fluxos de logs do CloudWatch Logs. Isso serve para que os usuários possam enviar logs de auditoria de acesso a arquivos de um sistema de arquivos do FSx para Windows File Server para um fluxo de logs do CloudWatch Logs.

  • firehose: permite que o Amazon FSx descreva e grave em fluxos de entrega do Amazon Data Firehose. Isso serve para que os usuários possam publicar os logs de auditoria de acesso a arquivos de um sistema de arquivos do FSx para Windows File Server em um fluxo de entrega do Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Todas as atualizações dessa política estão descritas em Atualizações do Amazon FSx para políticas gerenciadas pela AWS.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Detalhes das permissões AWSServiceRoleForFSxS3Access

Para AWSServiceRoleForFSxS3Access_file-system-id, a política de permissões de perfil permite que o Amazon FSx conclua as ações a seguir no bucket do Amazon S3 que hospeda o repositório de dados para um sistema de arquivos do Amazon FSx para Lustre.

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutObject

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculada a serviços no Guia do Usuário do IAM.

Como criar um perfil vinculado ao serviço para o Amazon FSx

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria um sistema de arquivos no AWS Management Console, na AWS CLI ou na AWS, o Amazon FSx cria o perfil vinculado a serviço para você.

Importante

Essa função vinculada ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com essa função. Para saber mais, consulte Uma Nova Função Apareceu na minha Conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria um sistema de arquivos, o Amazon FSx cria o perfil vinculado ao serviço para você novamente.

Edição de um perfil vinculado ao serviço do Amazon FSx

O Amazon FSx não permite que você edite esses perfis vinculados a serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Exclusão de um perfil vinculado ao serviço do Amazon FSx

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve excluir todos os seus sistemas de arquivos e backups para poder excluir manualmente o perfil vinculado ao serviço.

nota

Se o serviço do Amazon FSx estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console, a CLI ou a API do IAM para excluir o perfil vinculado ao serviço AWSServiceRoleForAmazonFSx. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte para os perfis vinculados a serviço do Amazon FSx

O Amazon FSx fornece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.