As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar funções vinculadas ao serviço para o Firewall Manager
AWS Firewall Manager usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculada diretamente ao Firewall Manager. As funções vinculadas ao serviço são predefinidas pelo Firewall Manager e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração do Firewall Manager porque você não precisa adicionar as permissões necessárias manualmente. O Firewall Manager define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Firewall Manager pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões. Essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
É possível excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da função. Isso protege seus recursos do Firewall Manager, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Função vinculada a serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões para funções vinculadas ao serviço para o Firewall Manager
AWS Firewall Manager usa o nome da função vinculada ao serviço AWSServiceRoleForFMS para permitir que o Firewall Manager chame AWS serviços em seu nome para gerenciar políticas de firewall e recursos da AWS Organizations conta. Essa política é anexada à função AWS gerenciadaAWSServiceRoleForFMS. Para obter mais informações sobre a função gerenciada, consulte AWS política gerenciada: FMSServiceRolePolicy.
A função AWSServiceRoleForFMS vinculada ao serviço confia no serviço para assumir a função. fms.amazonaws.com
A política de permissões da função permite que o Firewall Manager conclua as seguintes ações nos recursos especificados:
waf- Gerencie ACLs da web AWS WAF clássicas, permissões de grupos de regras e associações de ACLs da web em sua conta.ec2- Gerencie grupos de segurança em interfaces de rede elásticas e instâncias do Amazon EC2. Gerencie ACLs de rede nas sub-redes da Amazon VPC.vpc- Gerencie sub-redes, tabelas de rotas, tags e endpoints na Amazon VPC.wafv2- Gerencie ACLs AWS WAF da web, permissões de grupos de regras e associações de ACLs da web em sua conta.cloudfront- Crie ACLs da web para proteger as CloudFront distribuições.config- Gerencie as AWS Config regras de propriedade do Firewall Manager em sua conta.iam- Gerencie essa função vinculada ao serviço e crie as funções obrigatórias e vinculadas ao serviço AWS WAF Shield se configurar o registro e as políticas do Shield. AWS WAForganization- Crie uma função vinculada ao serviço de propriedade do Firewall Manager para gerenciar AWS Organizations recursos usados pelo Firewall Manager.shield- Gerencie AWS Shield proteções e configurações de mitigação L7 para recursos em sua conta.ram- Gerencie o compartilhamento AWS RAM de recursos para grupos de regras do Firewall DNS e grupos de regras do Firewall de Rede.network-firewall- Gerencie recursos de propriedade do Firewall Manager e AWS Network Firewall recursos dependentes da Amazon VPC em sua conta.route53resolver- Gerencie associações de Firewall DNS de propriedade do Firewall Manager em sua conta.
Veja a política completa no console do IAM: FMS. ServiceRolePolicy
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.
Criar uma função vinculada ao serviço para o Firewall Manager
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você ativa o login do Firewall Manager no AWS Management Console, ou faz uma PutLoggingConfiguration solicitação na CLI do Firewall Manager ou na API do Firewall Manager, o Firewall Manager cria a função vinculada ao serviço para você.
Você deve ter a permissão iam:CreateServiceLinkedRole para habilitar o registro em log.
Se excluir essa função vinculada a serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você habilita o registro em log do Firewall Manager, o Firewall Manager cria a função vinculada ao serviço novamente.
Editar uma função vinculada ao serviço para o Firewall Manager
O Firewall Manager não permite que você edite a função AWSServiceRoleForFMS vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluir uma função vinculada ao serviço para o Firewall Manager
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.
nota
Se o serviço Firewall Manager estiver usando a função quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Excluir o perfil vinculado a serviço usando o IAM
Use o console do IAM, a CLI do IAM ou a API do IAM para excluir a função vinculada ao AWSServiceRoleForFMS serviço. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões com suporte a funções vinculadas ao serviço do Firewall Manager
O Firewall Manager oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do Firewall Manager.
