Usando funções vinculadas a serviços para a Amazon FSx - FSx para ONTAP
Permissões de função vinculadas ao serviço para a Amazon FSxCriação de uma função vinculada a serviços para a Amazon FSxEditando uma função vinculada ao serviço para a Amazon FSxExcluindo uma função vinculada ao serviço para a Amazon FSxRegiões suportadas para funções vinculadas a FSx serviços da Amazon

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para a Amazon FSx

A Amazon FSx usa AWS Identity and Access Management funções vinculadas a serviços (IAM). Uma função vinculada a serviços é um tipo exclusivo de função do IAM vinculada diretamente à Amazon. FSx As funções vinculadas ao serviço são predefinidas pela Amazon FSx e incluem todas as permissões que o serviço exige para ligar para outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração da Amazon FSx porque você não precisa adicionar manualmente as permissões necessárias. A Amazon FSx define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente a Amazon FSx pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus FSx recursos da Amazon porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Service-Linked Role. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de função vinculadas ao serviço para a Amazon FSx

A Amazon FSx usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonFSx— Que executa determinadas ações em sua conta, como criar interfaces de rede elástica para seus sistemas de arquivos em sua VPC e publicar métricas de volume e sistema de arquivos em. CloudWatch

Para as atualizações dessa política, consulte Amazon FSx ServiceRolePolicy.

Detalhes das permissões

Detalhes das permissões

As permissões de AWSService RoleForAmazon FSx função são definidas pela política FSx ServiceRolePolicy AWS gerenciada da Amazon. O AWSService RoleForAmazon FSx tem as seguintes permissões:

nota

O AWSService RoleForAmazon FSx é usado por todos os tipos de sistema de FSx arquivos da Amazon; algumas das permissões listadas não se aplicam ao FSx ONTAP.

  • ds— Permite que FSx a Amazon visualize, autorize e não autorize aplicativos em seu diretório. AWS Directory Service

  • ec2— Permite que FSx a Amazon faça o seguinte:

    • Visualize, crie e desassocie interfaces de rede associadas a um sistema de FSx arquivos da Amazon.

    • Visualize um ou mais endereços IP elásticos associados a um sistema de FSx arquivos da Amazon.

    • Veja a Amazon VPCs, os grupos de segurança e as sub-redes associadas a um sistema de FSx arquivos da Amazon.

    • Fornecer validação aprimorada do grupo de segurança de todos os grupos de segurança que podem ser usados com uma VPC.

    • Crie uma permissão para que um usuário AWS autorizado realize determinadas operações em uma interface de rede.

  • cloudwatch— Permite que FSx a Amazon publique pontos de dados métricos CloudWatch sob o FSx namespace AWS//.

  • route53— Permite que FSx a Amazon associe uma Amazon VPC a uma zona hospedada privada.

  • logs— Permite que FSx a Amazon descreva e grave em fluxos de log do CloudWatch Logs. Isso é para que os usuários possam enviar registros de auditoria de acesso a arquivos de um FSx sistema de arquivos do Windows File Server para um stream de CloudWatch registros.

  • firehose— Permite que FSx a Amazon descreva e grave nos fluxos de entrega do Amazon Data Firehose. Isso é para que os usuários possam publicar os registros de auditoria de acesso a arquivos de um sistema de arquivos Amazon FSx para Windows File Server em um stream de distribuição do Amazon Data Firehose.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Todas as atualizações dessa política estão descritas em FSx Atualizações da Amazon para políticas AWS gerenciadas.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação de uma função vinculada a serviços para a Amazon FSx

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um sistema de arquivos na CLI do IAM ou na API do IAM, a Amazon FSx cria a função vinculada ao serviço para você. AWS Management Console

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Para saber mais, consulte Uma Nova Função Apareceu na minha Conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria um sistema de arquivos, a Amazon FSx cria a função vinculada ao serviço para você novamente.

Editando uma função vinculada ao serviço para a Amazon FSx

FSx A Amazon não permite que você edite a função AWSService RoleForAmazon FSx vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para a Amazon FSx

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve excluir todos os seus sistemas de arquivos e backups para poder excluir manualmente o perfil vinculado ao serviço.

nota

Se o FSx serviço da Amazon estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console, a CLI ou a API do IAM para excluir a função vinculada ao serviço AWSServiceRoleForAmazonFSx. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas a FSx serviços da Amazon

A Amazon FSx oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para mais informações, consulte Regiões e endpoints da AWS.