As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Use funções vinculadas a serviços para o Amazon Lightsail
O Amazon Lightsail AWS Identity and Access Management usa funções vinculadas a serviços (IAM). Uma função vinculada a serviços é um tipo exclusivo de função do IAM vinculada diretamente ao Amazon Lightsail. As funções vinculadas ao serviço são predefinidas pelo Amazon Lightsail e incluem todas as permissões que o Lightsail exige para chamar outros serviços em seu nome. AWS
Uma função vinculada ao serviço facilita a configuração do Amazon Lightsail porque você não precisa adicionar manualmente as permissões necessárias. O Amazon Lightsail define as permissões de suas funções vinculadas a serviços e, a menos que seja definido de outra forma, somente o Amazon Lightsail pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do Amazon Lightsail porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte aos perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure os serviços com Sim na coluna Perfil vinculado ao serviço. Escolha um Sim com um link para exibir a documentação da função vinculada a serviço desse serviço.
Permissões de função vinculadas ao serviço para o Amazon Lightsail
O Amazon Lightsail usa a função vinculada ao serviço chamada AWSServiceRoleForLightsail— Role para exportar instantâneos de disco de armazenamento em blocos e instâncias do Lightsail para o Amazon Elastic Compute Cloud (Amazon EC2) e para obter a configuração atual do Block Public Access no nível da conta do Amazon Simple Storage Service (Amazon S3).
A função AWSServiceRoleForLightsail vinculada ao serviço confia nos seguintes serviços para assumir a função:
-
lightsail.amazonaws.com
A política de permissões de função permite que o Amazon Lightsail conclua as seguintes ações nos recursos especificados:
-
Ação:
ec2:CopySnapshotem todos os AWS recursos. -
Ação:
ec2:DescribeSnapshotsem todos os AWS recursos. -
Ação:
ec2:CopyImageem todos os AWS recursos. -
Ação:
ec2:DescribeImagesem todos os AWS recursos. -
Ação:
cloudformation:DescribeStacksem todas as AWS CloudFormation pilhas da AWS. -
Ação:
s3:GetAccountPublicAccessBlockem todos os AWS recursos.
Permissões de perfil vinculado ao serviço
Você deve configurar permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) crie ou edite a descrição de um perfil vinculado ao serviço.
Para permitir que uma entidade do IAM; crie uma função vinculada ao serviço
Adicione a seguinte política à entidade do IAM que precisa criar a função vinculada ao serviço.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*", "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" } ] }
Para permitir que uma entidade do IAM crie qualquer função vinculada ao serviço
Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa criar uma função vinculada ao serviço ou qualquer função de serviço que inclua as políticas necessárias. Esta política anexa uma política à função.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir que uma entidade do IAM edite a descrição de todas as funções de serviço
Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa editar uma descrição de uma função vinculada ao serviço ou qualquer função de serviço.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir que uma entidade do IAM exclua uma função vinculada ao serviço específica
Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa excluir a função vinculada ao serviço.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" }
Para permitir que uma entidade do IAM exclua qualquer função de serviço
Adicione a seguinte instrução à política de permissões da entidade do IAM; que precisa excluir um perfil vinculado ao serviço ou qualquer perfil de serviço.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Como alternativa, você pode usar uma política AWS gerenciada para fornecer acesso total ao serviço.
Criação de uma função vinculada a serviços para o Amazon Lightsail
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você exporta sua instância do Lightsail ou snapshot de disco de armazenamento em bloco para o Amazon EC2, ou cria ou atualiza um bucket do Lightsail na, na ou na AWS API AWS AWS Management Console AWS CLI, o Amazon Lightsail cria a função vinculada ao serviço para você.
Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Quando você exporta sua instância do Lightsail ou snapshot de disco de armazenamento em bloco para o Amazon EC2, ou cria ou atualiza um bucket do Lightsail, o Amazon Lightsail cria a função vinculada ao serviço para você novamente.
Importante
Você deve configurar as permissões do IAM para permitir que o Amazon Lightsail crie a função vinculada ao serviço. Para fazer isso, conclua as etapas a seguir na seção Permissões da função vinculada ao serviço.
Editando uma função vinculada ao serviço para o Amazon Lightsail
O Amazon Lightsail não permite que você edite AWSServiceRoleForLightsail a função vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluindo uma função vinculada ao serviço para o Amazon Lightsail
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve confirmar que não há nenhuma instância do Amazon Lightsail ou snapshots de disco em um estado de cópia pendente antes de excluir a função vinculada ao serviço. AWSServiceRoleForLightsail Para obter mais informações, consulte Export snapshots to Amazon EC2.
Como excluir manualmente a função vinculada a serviço usando o IAM
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForLightsail vinculada ao serviço. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões suportadas para funções vinculadas a serviços do Amazon Lightsail
O Amazon Lightsail oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações sobre as regiões em que o Lightsail está disponível, consulte Regiões do Amazon Lightsail.
