As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar perfis vinculados a serviços para Neptune
O Amazon Neptune AWS Identity and Access Management usa IAM () funções vinculadas a serviços. Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente ao Neptune. As funções vinculadas ao serviço são predefinidas pelo Neptune e incluem todas as permissões que o serviço exige para chamar outros serviços em seu nome. AWS
Importante
Para determinados recursos de gerenciamento, o Amazon Neptune usa tecnologia operacional compartilhada com a Amazon. RDS Isso inclui a função vinculada ao serviço e as permissões de gerenciamentoAPI.
Um perfil vinculado ao serviço facilita a configuração do Neptune porque você não precisa adicionar as permissões necessárias manualmente. O Neptune define as permissões dos perfis vinculados a serviços e, exceto se definido de outra forma, somente o Neptune pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.
É possível excluir as funções somente depois de primeiro excluir seus recursos relacionados. Isso protege os recursos do Neptune, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de perfil vinculado ao serviço para Neptune
O Neptune usa AWSServiceRoleForRDS a função vinculada ao serviço para permitir que o Neptune e a RDS Amazon AWS chamem serviços em nome de suas instâncias de banco de dados. A função vinculada ao serviço AWSServiceRoleForRDS confia no serviço rds.amazonaws.com para presumir a função.
A política de permissões do perfil permite que o Neptune conclua as seguintes ações nos recursos especificados:
-
Ações em
ec2:AssignPrivateIpAddressesAuthorizeSecurityGroupIngressCreateNetworkInterfaceCreateSecurityGroupDeleteNetworkInterfaceDeleteSecurityGroupDescribeAvailabilityZonesDescribeInternetGatewaysDescribeSecurityGroupsDescribeSubnetsDescribeVpcAttributeDescribeVpcsModifyNetworkInterfaceAttributeRevokeSecurityGroupIngressUnassignPrivateIpAddresses
-
Ações em
sns:ListTopicPublish
-
Ações em
cloudwatch:PutMetricDataGetMetricDataCreateLogStreamPullLogEventsDescribeLogStreamsCreateLogGroup
nota
Você deve configurar permissões para permitir que uma IAM entidade (como usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Você pode encontrar a seguinte mensagem de erro:
Impossível criar o recurso. Você se você tem permissão para criar o perfil vinculado ao serviço. Caso contrário, aguarde e tente novamente mais tarde.
Se essa mensagem for exibida, verifique se você tem as seguintes permissões habilitadas:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }
Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.
Criar um perfil vinculado ao serviço para Neptune
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma instância ou um cluster, o Neptune cria um perfil vinculado a serviço para você.
Importante
Para saber mais, consulte Uma nova função apareceu em Minha IAM conta no Guia do IAM usuário.
Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria uma instância ou um cluster, o Neptune cria o perfil vinculado ao serviço novamente.
Editar um perfil vinculado ao serviço para Neptune
O Neptune não permite editar o perfil vinculada ao serviço AWSServiceRoleForRDS. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Editando uma função vinculada ao serviço no Guia do IAMusuário.
Excluir um perfil vinculado ao serviço para Neptune
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. Contudo, você deve excluir todas as suas instâncias e clusters para poder excluir a função vinculada a serviço associada.
Limpeza de uma função vinculada a serviço antes da exclusão
Antes de poder usar IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar se a função não tem sessões ativas e remover os recursos usados pela função.
Para verificar se a função vinculada ao serviço tem uma sessão ativa no console IAM
Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/
. No painel de navegação do IAM console, escolha Funções. A seguir, selecione o nome (não a caixa de seleção) da função
AWSServiceRoleForRDS.Na página Resumo para a função selecionada, escolha a guia Consultor de Acesso.
-
Na guia Consultor de Acesso, revise a atividade recente para a função vinculada ao serviço.
nota
Se não tiver certeza se o Neptune está usando o perfil
AWSServiceRoleForRDS, você poderá tentar excluir o perfil. Se o serviço estiver usando a função, a exclusão falhará e você poderá visualizar as regiões da em que a função está sendo usada. Se a função está sendo usada, você deve aguardar a sessão final antes de excluir a função. Não é possível revogar a sessão de uma função vinculada a um serviço.
Se deseja remover a função AWSServiceRoleForRDS, você deve primeiro excluir todas as suas instâncias e clusters.
Exclusão de todas as instâncias
Use um destes procedimentos para excluir cada uma de suas instâncias.
Para excluir uma instância (console)
-
Abra o RDS console da Amazon em https://console.aws.amazon.com/rds/
. No painel de navegação, escolha Instances (Instâncias).
Na lista Instances, escolha a instância que você deseja excluir.
Escolha Instance actions e, em seguida, escolha Delete.
Se for exibido Create final Snapshot? (Criar snapshot final?), escolha Yes (Sim) ou No (Não).
Se você escolher Yes (Sim) na etapa anterior, em Final snapshot name (Nome do snapshot final), digite o nome do snapshot final.
Escolha Excluir.
Como excluir uma instância (AWS CLI)
Consulte delete-db-instance no AWS CLI Command Reference.
Como excluir uma instância (API)
Consulte DeleteDBInstance.
Exclusão de todos os clusters
Siga um destes procedimentos para excluir um único cluster e, depois, repita o procedimento para cada um dos seus clusters.
Para excluir um cluster (console)
Na lista Clusters, escolha o cluster que você deseja excluir.
Escolha Ações de cluster e Excluir.
Escolha Excluir.
Para excluir um cluster (CLI)
Consulte delete-db-cluster no AWS CLI Command Reference.
Para excluir um cluster (API)
Consulte DeleteDBCluster
Você pode usar o IAM console IAMCLI, o ou o IAM API para excluir a função AWSServiceRoleForRDS vinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.
