彈性叢集中的服務連結角色 - Amazon DocumentDB
彈性叢集的服務連結角色權限

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

彈性叢集中的服務連結角色

Amazon DocumentDB 彈性叢集使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種獨特的IAM角色類型,可直接連結至 Amazon DocumentDB 彈性叢集。服務連結角色由 Amazon DocumentDB 彈性叢集預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓使用 Amazon DocumentDB 彈性叢集變得更加輕鬆,因為您不必手動新增必要的許可。Amazon DocumentDB 彈性叢集會定義其服務連結角色的許可,除非另有定義,否則只有 Amazon DocumentDB 彈性叢集可以擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。您必須先刪除角色的相關資源,才能刪除角色。這可以保護您的 Amazon DocumentDB 彈性叢集資源,因為您無法不小心移除存取資源的權限。

如需支援服務連結角色之其他服AWS 務的相關資訊,請參閱使用的服務,IAM並在服務連結角色欄中尋找標示為的服務。選擇具有連結的是,以檢視該服務的服務連結角色文件。

彈性叢集的服務連結角色權限

Amazon DocumentDB 彈性叢集使用名為的服務連結角色,AWS ServiceRoleForDocDB-Elastic允許 Amazon DocumentDB 彈性叢集代表叢集呼叫 AWS 服務。

此服務連結角色具有名為 AmazonDocDB-ElasticServiceRolePolicy 的許可政策,該政策會授予此角色在帳戶中操作的許可。角色許可政策允許 Amazon DocumentDB 彈性叢集在指定的資源上完成下列動作:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/DocDB-Elastic"
                    ]
                }
            }
        }
    ]
}
注意

您必須設定權限,才能允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。如果您遇到下列錯誤訊息:「無法建立資源。請確認您擁有建立服務連結角色的許可。否則請等待,然後稍後再試。」 ,請確定您已啟用下列權限:


{
"Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
    "Condition": {
"StringLike": {
"iam:AWSServiceName":"docdb-elastic.amazonaws.com"
        }
    }
}

如需詳細資訊,請參閱 AWS Identity and Access Management 使用者指南中的服務連結角色權限

為 Amazon DocumentDB 彈性叢集建立服務連結角色

您不需要手動建立一個服務連結角色。當您建立資料庫執行個體時,Amazon DocumentDB 彈性叢集會為您建立服務連結角色。

編輯 Amazon DocumentDB 彈性叢集的服務連結角色

Amazon DocumentDB 彈性叢集不允許您編輯AWS ServiceRoleForDocDB-Elastic服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱 AWS Identity and Access Management 使用者指南中的編輯服務連結角色

刪除 Amazon DocumentDB 彈性叢集的服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。不過您必須先刪除您的所有 叢集,才能刪除服務連結角色。

清除服務連結角色

您必須先確認角色沒有作用中工作階段,並移除角色使用的所有資源,然後才能用IAM來刪除服務連結角色。

如果要檢查服務連結角色在IAM主控台中是否具有作用中的工作階段:

  1. 登入AWS Management Console並開啟IAM主控台。

  2. 在IAM主控台的導覽窗格中,選擇 [角色]。然後選擇 AWS ServiceRoleForDocDB-Elastic 角色的名稱 (而非核取方塊)。

  3. 在所選角色的 Summary (摘要) 頁面中,選擇 Access Advisor (存取 Advisor) 分頁。

注意

如果您不確定 Amazon DocumentDB 彈性叢集是否正在使用該AWS ServiceRoleForDocDB-Elastic角色,可以嘗試刪除該角色。如果服務正在使用角色,則刪除會失敗,您可 AWS 區域 以檢視角色的使用位置。如果服務正在使用該角色,您必須先等到工作階段結束,才能刪除該角色。您無法撤銷服務連結角色的工作階段。

如果要移除AWS ServiceRoleForDocDB-Elastic角色,必須先刪除所有叢集。

刪除您的所有叢集

若要刪除 Amazon DocumentDB 主控台中的叢集:

  1. 登入AWS Management Console並開啟 Amazon DocumentDB 主控台。

  2. 在導覽窗格中,選擇叢集

  3. 選擇您要刪除的叢集。

  4. 對於 Actions (動作),請選擇 Delete (刪除)。

  5. 如果系統提示您建立最終快照? ,選擇「是」 或「」。

  6. 如果您在前一個步驟中選擇 Yes (是),則對於 Final snapshot name (最終快照名稱),輸入您的最終快照名稱。

  7. 選擇 刪除

注意

您可以使用IAM主控台IAMCLI、或刪IAMAPI除AWS ServiceRoleForDocDB-Elastic服務連結角色。如需詳細資訊,請參閱《AWS Identity and Access Management 使用者指南》中的刪除服務連結角色