Como usar perfis vinculados a serviço no Amazon FSx - FSxpara Lustre
Permissões de perfil vinculado ao serviço para o Amazon FSxComo criar um perfil vinculado ao serviço para o Amazon FSxEdição de um perfil vinculado ao serviço do Amazon FSxExclusão de um perfil vinculado ao serviço do Amazon FSxRegiões com suporte para os perfis vinculados a serviço do Amazon FSx

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Como usar perfis vinculados a serviço no Amazon FSx

O Amazon FSx usa funções vinculadas a serviços AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo especial de perfil do IAM vinculado diretamente ao Amazon FSx. As funções vinculadas ao serviço são predefinidas pelo Amazon FSx e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Um perfil vinculado ao serviço facilita a configuração do Amazon FSx porque você não precisa adicionar as permissões necessárias manualmente. O Amazon FSx define as permissões dos perfis vinculados ao serviço e, a não ser que esteja definido de outra forma, somente o Amazon FSx poderá assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Amazon FSx, uma vez que você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados aos serviços. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de perfil vinculado ao serviço para o Amazon FSx

O Amazon FSx usa duas funções vinculadas a serviços nomeadas AWSServiceRoleForAmazonFSx e AWSServiceRoleForFSxS3Access_fs-01234567890 que executam determinadas ações em sua conta. Exemplos dessas ações são criar interfaces de rede elástica para seus sistemas de arquivos em sua VPC e acessar seu repositório de dados em um bucket do Amazon S3. Para AWSServiceRoleForFSxS3Access_fs-01234567890, esse perfil vinculado ao serviço é criado para cada sistema de arquivos do Amazon FSx para Lustre que você cria e que está vinculado a um bucket do S3.

AWSServiceRoleForAmazonFSx detalhes de permissões

PoisAWSServiceRoleForAmazonFSx, a política de permissões de função permite que o Amazon FSx conclua as seguintes ações administrativas em nome do usuário em todos os recursos aplicáveis AWS :

Para atualizações desta política, consulte Amazon F SxServiceRolePolicy

nota

O AWSServiceRoleForAmazonFSx é usado por todos os tipos de sistema de arquivos Amazon FSx; algumas das permissões listadas não são aplicáveis ao FSx for Lustre.

  • ds— Permite que o Amazon FSx visualize, autorize e não autorize aplicativos em seu diretório. AWS Directory Service

  • ec2: permite que o Amazon FSx faça o seguinte:

    • Visualizar, criar e desassociar interfaces de rede associadas a um sistema de arquivos do Amazon FSx.

    • Visualizar um ou mais endereços IP elásticos associados a um sistema de arquivos do Amazon FSx.

    • Visualizar Amazon VPCs, grupos de segurança e sub-redes associados a um sistema de arquivos do Amazon FSx.

    • Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança que podem ser usados com uma VPC.

    • Crie uma permissão para que um usuário AWS autorizado realize determinadas operações em uma interface de rede.

  • cloudwatch— Permite que o Amazon FSx publique pontos de dados métricos CloudWatch sob o namespace AWS/FSx.

  • route53: permite que o Amazon FSx associe uma Amazon VPC a uma zona hospedada privada.

  • logs— Permite que o Amazon FSx descreva e grave em fluxos de log de CloudWatch registros. Isso é para que os usuários possam enviar registros de auditoria de acesso a arquivos de um sistema de arquivos FSx for Windows File Server para CloudWatch um stream de registros.

  • firehose— Permite que o Amazon FSx descreva e grave nos fluxos de entrega do Amazon Data Firehose. Isso é para que os usuários possam publicar os registros de auditoria de acesso a arquivos de um sistema de arquivos FSx for Windows File Server em um stream de distribuição do Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Todas as atualizações dessa política estão descritas em Atualizações do Amazon FSx para AWS políticas gerenciadas.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

AWSServiceRoleForFSxS3Access detalhes de permissões

PoisAWSServiceRoleForFSxS3Access_file-system-id, a política de permissões de função permite que o Amazon FSx conclua as seguintes ações em um bucket do Amazon S3 que hospeda o repositório de dados de um sistema de arquivos Amazon FSx for Lustre.

  • s3:AbortMultipartUpload

  • s3:DeleteObject

  • s3:Get*

  • s3:List*

  • s3:PutBucketNotification

  • s3:PutObject

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de perfil vinculado a serviços no Guia do usuário do IAM.

Como criar um perfil vinculado ao serviço para o Amazon FSx

Não é necessário criar manualmente uma função vinculada a serviço. Quando você cria um sistema de arquivos na AWS Management Console, na ou na AWS API AWS CLI, o Amazon FSx cria a função vinculada ao serviço para você.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte Uma Nova Função Apareceu na minha Conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria um sistema de arquivos, o Amazon FSx cria o perfil vinculado ao serviço para você novamente.

Edição de um perfil vinculado ao serviço do Amazon FSx

O Amazon FSx não permite que você edite essas funções vinculadas a serviços. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Exclusão de um perfil vinculado ao serviço do Amazon FSx

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve excluir todos os seus sistemas de arquivos e backups para poder excluir manualmente o perfil vinculado ao serviço.

nota

Se o serviço do Amazon FSx estiver usando o perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada ao AWSServiceRoleForAmazonFSx serviço. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões com suporte para os perfis vinculados a serviço do Amazon FSx

O Amazon FSx fornece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.