Permissões de perfil vinculado ao serviço Criando uma função vinculada ao serviço () IAM Editar a descrição de uma função vinculada ao serviço Excluindo uma função vinculada ao serviço do Amazon Timestream para InfluxDB Regiões suportadas pelo Amazon Timestream para funções vinculadas ao serviço InfluxDB

Usando funções vinculadas a serviços para Amazon Timestream para InfluxDB

O Amazon Timestream para InfluxDB AWS Identity and Access Management usa () funções vinculadas ao serviço. IAM Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente a um AWS serviço, como o Amazon Timestream for InfluxDB. As funções vinculadas ao serviço Amazon Timestream para InfluxDB são predefinidas pelo Amazon Timestream para InfluxDB. Eles incluem todas as permissões que o serviço exige para chamar AWS serviços em nome de suas instâncias de banco de dados.

Uma função vinculada ao serviço facilita a configuração do Amazon Timestream para o InfluxDB porque você não precisa adicionar manualmente as permissões necessárias. As funções já existem em sua AWS conta, mas estão vinculadas aos casos de uso do Amazon Timestream para InfluxDB e têm permissões predefinidas. Somente o Amazon Timestream for InfluxDB pode assumir essas funções, e somente essas funções podem usar a política de permissões predefinida. É possível excluir as funções somente depois de primeiro excluir seus recursos relacionados. Isso protege seus recursos do Amazon Timestream for InfluxDB porque você não pode remover inadvertidamente as permissões necessárias para acessar os recursos.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a serviços, consulte AWS Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Sumário

Permissões de função vinculadas ao serviço para Amazon Timestream para InfluxDB

O Amazon Timestream for InfluxDB usa a função vinculada ao serviço AmazonTimestreamInfluxDBServiceRolePolicychamada — Essa política permite que o Timestream for InfluxDB gerencie recursos em seu nome conforme necessário para gerenciar seus clusters. AWS

A política de permissões AmazonTimestreamInflux DBServiceRolePolicy de função vinculada ao serviço permite que o Amazon Timestream for InfluxDB conclua as seguintes ações nos recursos especificados:


{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Sid": "DescribeNetworkStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:DescribeNetworkInterfaces"
			],
			"Resource": "*"
		},
		{
			"Sid": "CreateEniInSubnetStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": [
				"arn:aws:ec2:*:*:subnet/*",
				"arn:aws:ec2:*:*:security-group/*"
			]
		},
		{
			"Sid": "CreateEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "CreateTagWithEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateTags"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:RequestTag/AmazonTimestreamInfluxDBManaged": "false"
				},
				"StringEquals": {
					"ec2:CreateAction": [
						"CreateNetworkInterface"
					]
				}
			}
		},
		{
			"Sid": "ManageEniStatement",
			"Effect": "Allow",
			"Action": [
				"ec2:CreateNetworkInterfacePermission",
				"ec2:DeleteNetworkInterface"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/*",
			"Condition": {
				"Null": {
					"aws:ResourceTag/AmazonTimestreamInfluxDBManaged": "false"
				}
			}
		},
		{
			"Sid": "PutCloudWatchMetricsStatement",
			"Effect": "Allow",
			"Action": [
				"cloudwatch:PutMetricData"
			],
			"Condition": {
				"StringEquals": {
					"cloudwatch:namespace": [
						"AWS/Timestream/InfluxDB",
						"AWS/Usage"
					]
				}
			},
			"Resource": [
				"*"
			]
		},
		{
			"Sid": "ManageSecretStatement",
			"Effect": "Allow",
			"Action": [
				"secretsmanager:CreateSecret",
				"secretsmanager:DeleteSecret"
			],
			"Resource": [
				"arn:aws:secretsmanager:*:*:secret:READONLY-InfluxDB-auth-parameters-*"
			],
			"Condition": {
				"StringEquals": {
					"aws:ResourceAccount": "${aws:PrincipalAccount}"
				}
			}
		}
	]
}

Para permitir que uma IAM entidade crie funções AmazonTimestreamInflux DBServiceRolePolicy vinculadas a serviços

Adicione a seguinte declaração de política às permissões dessa IAM entidade:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

Para permitir que uma IAM entidade exclua funções AmazonTimestreamInflux DBServiceRolePolicy vinculadas ao serviço

Adicione a seguinte declaração de política às permissões dessa IAM entidade:


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "timestreamforinfluxdb.amazonaws.com"}}
}

Como alternativa, você pode usar uma política AWS gerenciada para fornecer acesso total ao Amazon Timestream para o InfluxDB.

Criando uma função vinculada ao serviço () IAM

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma instância de banco de dados, o Amazon Timestream for InfluxDB cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, você poderá usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma instância de banco de dados, o Amazon Timestream for InfluxDB cria a função vinculada ao serviço para você novamente.

Editando a descrição de uma função vinculada ao serviço do Amazon Timestream para InfluxDB

O Amazon Timestream para InfluxDB não permite que você edite a função vinculada ao serviço. AmazonTimestreamInflux DBServiceRolePolicy Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição da função usandoIAM.

Editando uma descrição de função vinculada ao serviço (console) IAM

Você pode usar o IAM console para editar uma descrição de função vinculada ao serviço.

Para editar a descrição de uma função vinculada ao serviço (console)

No painel de navegação esquerdo do IAM console, escolha Funções.
Escolha o nome da função a ser modificada.
No extremo direito da Descrição da função, escolha Editar.
Insira uma nova descrição na caixa e escolha Salvar.

Editando uma descrição de função vinculada ao serviço () IAM CLI

Você pode usar IAM as operações do AWS Command Line Interface para editar uma descrição de função vinculada ao serviço.

Para alterar a descrição de uma função vinculada ao serviço () CLI

(Opcional) Para ver a descrição atual de uma função, use a IAM operação AWS CLI forget-role.
```
$ aws iam get-role --role-name AmazonTimestreamInfluxDBServiceRolePolicy
```
Use o nome da função, não oARN, para se referir às funções com as CLI operações. Por exemplo, se uma função tiver o seguinteARN:arn:aws:iam::123456789012:role/myrole, consulte a função comomyrole.

Para atualizar a descrição de uma função vinculada ao serviço, use a operação AWS CLI forIAM. update-role-description

Linux e macOS


$ aws iam update-role-description \
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy \
    --description "new description"

Windows


$ aws iam update-role-description ^
    --role-name AmazonTimestreamInfluxDBServiceRolePolicy ^
    --description "new description"

Editando uma descrição de função vinculada ao serviço () IAM API

Você pode usar o IAM API para editar uma descrição de função vinculada ao serviço.

Para alterar a descrição de uma função vinculada ao serviço () API

(Opcional) Para ver a descrição atual de uma função, use a IAM API operação GetRole.


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &AUTHPARAMS

Para atualizar a descrição de uma função, use a IAM API operação UpdateRoleDescription.


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy
   &Version=2010-05-08
   &Description="New description"

Excluindo uma função vinculada ao serviço do Amazon Timestream para InfluxDB

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar sua função vinculada ao serviço antes de excluí-la.

O Amazon Timestream para InfluxDB não exclui a função vinculada ao serviço para você.

Limpar uma função vinculada ao serviço

Antes de poder usar IAM para excluir uma função vinculada ao serviço, primeiro confirme se a função não tem recursos (clusters) associados a ela.

Para verificar se a função vinculada ao serviço tem uma sessão ativa no console IAM

Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.
No painel de navegação esquerdo do IAM console, escolha Funções. Em seguida, escolha o nome (não a caixa de seleção) da AmazonTimestreamInflux DBServiceRolePolicy função.
Na página Resumo para a função selecionada, escolha a guia Consultor de Acesso.
Na guia Consultor de Acesso, revise a atividade recente para a função vinculada ao serviço.

Excluindo uma função vinculada ao serviço (console) IAM

Você pode usar o IAM console para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço (console)

Faça login no AWS Management Console e abra o IAM console em https://console.aws.amazon.com/iam/.
No painel de navegação esquerdo do IAM console, escolha Funções. Selecione a caixa de marcação ao lado do nome da função que você deseja excluir, não o nome ou a linha em si.
Em ações de Função na parte superior da página, escolha a função Excluir.
Na página de confirmação, revise os dados do último acesso ao serviço, que mostram quando cada uma das funções selecionadas acessou um AWS serviço pela última vez. Isso ajuda você a confirmar se a função está ativo no momento. Se quiser prosseguir, escolha Sim, Excluir para enviar a função vinculada ao serviço para exclusão.
Assista às notificações do IAM console para monitorar o progresso da exclusão da função vinculada ao serviço. Como a exclusão da função IAM vinculada ao serviço é assíncrona, depois de enviar a função para exclusão, a tarefa de exclusão pode ser bem-sucedida ou falhar. Se a tarefa obtiver êxito, você poderá escolher Visualizar Detalhes ou Visualizar Recursos a partir das notificações para saber por que a exclusão falhou.

Excluindo uma função vinculada ao serviço () IAM CLI

Você pode usar IAM as operações do AWS Command Line Interface para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço () CLI

Se você não souber o nome da função vinculada ao serviço que deseja excluir, insira o seguinte comando. Esse comando lista as funções e seus nomes de recursos da Amazon (ARNs) em sua conta.
```
$ aws iam get-role --role-name role-name
```
Use o nome da função, não oARN, para se referir às funções com as CLI operações. Por exemplo, se uma função tem o ARNarn:aws:iam::123456789012:role/myrole, você se refere à função comomyrole.
Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o deletion-task-id da resposta para verificar o status da tarefa de exclusão. Insira o seguinte para enviar uma solicitação de exclusão de função vinculada ao serviço.
```
$ aws iam delete-service-linked-role --role-name role-name
```
Insita o seguinte para verificar o estado da tarefa de exclusão.
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
O status da tarefa de exclusão pode ser NOT_STARTED, IN_PROGRESS, SUCCEEDED, ou FAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

Excluindo uma função vinculada ao serviço () IAM API

Você pode usar o IAM API para excluir uma função vinculada ao serviço.

Para excluir uma função vinculada ao serviço () API

Para enviar uma solicitação de exclusão de um roll vinculada ao serviço, chame DeleteServiceLinkedRole. Na solicitação, especifique um nome de função.

Como uma função vinculada ao serviço não podem ser excluída se estiver sendo usada ou tiver recursos associados, você deverá enviar uma solicitação de exclusão. Essa solicitação poderá ser negada se essas condições não forem atendidas. Você deve capturar o DeletionTaskId da resposta para verificar o status da tarefa de exclusão.
Para verificar o status da exclusão, chame GetServiceLinkedRoleDeletionStatus. Na solicitação, especifique DeletionTaskId o.

O status da tarefa de exclusão pode ser NOT_STARTED, IN_PROGRESS, SUCCEEDED, ou FAILED. Se a exclusão falhar, a chamada informará o motivo de falha para que você possa solucionar o problema.

Regiões suportadas pelo Amazon Timestream para funções vinculadas ao serviço InfluxDB

O Amazon Timestream para InfluxDB suporta o uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints de serviço da AWS.

Atenção O Javascript está desativado ou não está disponível no seu navegador.

Para usar a documentação da AWS, o Javascript deve estar ativado. Consulte as páginas de Ajuda do navegador para obter instruções.

Convenções do documento

Controlando o acesso a uma instância de banco de dados em um VPC

AWS políticas gerenciadas