Erstellen einer serviceverknüpften Rolle - AWS Identitäts- und Zugriffsverwaltung

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Erstellen einer serviceverknüpften Rolle

Eine dienstbezogene Rolle ist ein einzigartiger IAM Rollentyp, der direkt mit einem AWS Dienst verknüpft ist. Dienstbezogene Rollen sind vom Dienst vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. Der verknüpfte Service definiert auch, wie Sie eine serviceverknüpfte Rolle erstellen, ändern und löschen. Ein Service kann die Rolle automatisch erstellen oder löschen. Er kann Ihnen erlauben, die Rolle als Teil eines Assistenten oder Prozesses im Service zu erstellen, zu ändern oder zu löschen. Oder es kann erforderlich sein, dass Sie die Rolle IAM zum Erstellen oder Löschen verwenden. Unabhängig von der Methode erleichtern serviceverknüpfte Rollen den Prozess der Einrichtung eines Services, da Sie dem Service keine manuellen Berechtigungen für die Ausführung von Aktionen in Ihrem Namen hinzufügen müssen.

Anmerkung

Denken Sie daran, dass sich Servicerollen von serviceverknüpften Rollen unterscheiden. Eine Servicerolle ist eine IAMRolle, die ein Dienst übernimmt, um Aktionen in Ihrem Namen auszuführen. Ein IAM Administrator kann eine Servicerolle von innen heraus erstellen, ändern und löschenIAM. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer Rolle zum Delegieren von Berechtigungen AWS-Service an eine. Eine serviceverknüpfte Rolle ist eine Art von Servicerolle, die mit einer verknüpft ist. AWS-Service Der Service kann die Rolle übernehmen, um eine Aktion in Ihrem Namen auszuführen. Dienstbezogene Rollen werden in Ihrem Dienst angezeigt AWS-Konto und gehören dem Dienst. Ein IAM Administrator kann die Berechtigungen für dienstbezogene Rollen anzeigen, aber nicht bearbeiten.

Der verknüpfte Service definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur dieser Service die Rollen zuordnen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.

Bevor Sie die Rollen löschen können, müssen Sie zunächst die zugehörigen Ressourcen löschen. Dies schützt Ihre -Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Tipp

Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen

Sie müssen Berechtigungen für eine IAM Entität (Benutzer oder Rolle) konfigurieren, damit der Benutzer oder die Rolle die dienstbezogene Rolle erstellen oder bearbeiten kann.

Anmerkung

Die Rolle ARN für eine dienstverknüpfte Rolle umfasst einen Dienstprinzipal, der in den folgenden Richtlinien als angegeben ist. SERVICE-NAME.amazonaws.com Versuchen Sie nicht, den Dienstprinzipal zu erraten, da hier Groß- und Kleinschreibung beachtet wird und das Format je nach AWS Dienst variieren kann. Um den Dienstauftraggeber für einen Service zu sehen, sehen Sie sich seine serviceverknüpfte Rollendokumentation an.

Um es einer IAM Entität zu ermöglichen, eine bestimmte dienstbezogene Rolle zu erstellen

Fügen Sie der IAM Entität, die die dienstverknüpfte Rolle erstellen muss, die folgende Richtlinie hinzu.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*", "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}} }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*" } ] }

Um es einer IAM Entität zu ermöglichen, eine beliebige dienstbezogene Rolle zu erstellen

Fügen Sie die folgende Anweisung zur Berechtigungsrichtlinie für die IAM Entität hinzu, die eine dienstbezogene Rolle erstellen muss, oder für eine beliebige Servicerolle, die die erforderlichen Richtlinien enthält. Diese Richtlinienerklärung erlaubt es der IAM Entität nicht, der Rolle eine Richtlinie zuzuweisen.

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

Um es einer IAM Entität zu ermöglichen, die Beschreibung von Servicerollen zu bearbeiten

Fügen Sie der Berechtigungsrichtlinie für die IAM Entität, die die Beschreibung einer dienstbezogenen Rolle oder einer beliebigen Servicerolle bearbeiten muss, die folgende Anweisung hinzu.

{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

Um einer IAM Entität das Löschen einer bestimmten dienstbezogenen Rolle zu ermöglichen

Fügen Sie der Berechtigungsrichtlinie für die IAM Entität, die die dienstverknüpfte Rolle löschen muss, die folgende Anweisung hinzu.

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*" }

Um es einer IAM Entität zu ermöglichen, jede dienstverknüpfte Rolle zu löschen

Fügen Sie die folgende Anweisung zur Berechtigungsrichtlinie für die IAM Entität hinzu, die eine dienstverknüpfte Rolle löschen muss, aber keine Servicerolle.

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

Um einer IAM Entität zu ermöglichen, eine bestehende Rolle an den Dienst zu übergeben

Bei einigen AWS Diensten können Sie eine bestehende Rolle an den Dienst übergeben, anstatt eine neue, mit dem Dienst verknüpfte Rolle zu erstellen. Um dies zu tun, benötigt ein Benutzer Berechtigungen für das Übergeben der Rolle an den Service. Fügen Sie der Berechtigungsrichtlinie für die IAM Entität, die eine Rolle übergeben muss, die folgende Anweisung hinzu. Diese Richtlinienanweisung ermöglicht außerdem der Entität, eine Liste der Rollen anzuzeigen, aus denen sie die zu übergebende Rolle auswählen kann. Weitere Informationen finden Sie unter Erteilen Sie einem Benutzer die Erlaubnis, eine Rolle an einen AWS Dienst zu übergeben.

{ "Sid": "PolicyStatementToAllowUserToListRoles", "Effect": "Allow", "Action": ["iam:ListRoles"], "Resource": "*" }, { "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/my-role-for-XYZ" }

Indirekte Berechtigungen mit serviceverknüpfte Rollen

Die Berechtigungen einer serviceverknüpften Rolle können indirekt auf andere Benutzer und Rollen übertragen werden. Wenn eine dienstverknüpfte Rolle von einem AWS Dienst verwendet wird, kann diese dienstverknüpfte Rolle ihre eigenen Berechtigungen verwenden, um andere AWS Dienste aufzurufen. Das bedeutet, dass Benutzer und Rollen mit Berechtigungen zum Aufrufen eines Services, der eine serviceverknüpfte Rolle verwendet, möglicherweise indirekten Zugriff auf Services haben, auf die über diese serviceverknüpfte Rolle zugegriffen werden kann.

Wenn Sie beispielsweise eine RDS Amazon-DB-Instance erstellen, RDS wird automatisch eine serviceverknüpfte Rolle für erstellt, sofern noch keine vorhanden ist. Diese servicebezogene Rolle ermöglicht esRDS, AmazonEC2, AmazonSNS, Amazon CloudWatch Logs und Amazon Kinesis in Ihrem Namen anzurufen. Wenn Sie Benutzern und Rollen in Ihrem Konto erlauben, RDS Datenbanken zu ändern oder zu erstellen, können sie möglicherweise indirekt mit Amazon-, Amazon-EC2, Amazon CloudWatch Logs-Protokollen und Amazon Kinesis Kinesis-Ressourcen interagieren, indem sie anrufenRDS, als RDS würden sie ihre dienstbezogene Rolle verwenden, um auf diese Ressourcen zuzugreifen. SNS

Erstellen einer serviceverknüpften Rolle

Die Vorgehensweise zum Erstellen einer serviceverknüpften Rolle hängt vom Service ab. In einigen Fällen müssen Sie die serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie beispielsweise eine bestimmte Aktion (z. B. das Erstellen einer Ressource) im Service durchführen, erstellt der Service die serviceverknüpfte Rolle eventuell für Sie. Wenn Sie über einen Service verwenden, bevor dieser serviceverknüpfte Rollen unterstützt, hat der Service die Rolle eventuell bereits automatisch in Ihrem Konto erstellt. Weitere Informationen hierzu finden Sie unter In meinem AWS -Konto wird eine neue Rolle angezeigt.

In anderen Fällen unterstützt der Service möglicherweise die manuelle Erstellung einer serviceverknüpften Rolle über die Servicekonsole, API oder. CLI Informationen darüber, welche Services die Verwendung von serviceverknüpften Rollen unterstützen, finden Sie unter AWS Dienste, die funktionieren mit IAM. Suchen Sie nach den Services, für die Yes in der Spalte Service-Linked Role angegeben ist. Um zu erfahren, ob der Service das Erstellen der serviceverknüpften Rolle unterstützt, wählen Sie den Link Yes aus, um die Dokumentation zur serviceverknüpften Rolle dieses Services anzuzeigen.

Wenn der Dienst das Erstellen der Rolle nicht unterstützt, können Sie sie verwenden, IAM um die dienstverknüpfte Rolle zu erstellen.

Wichtig

Serviceverknüpfte Rollen werden in einem bestimmten AWS-Konto Limit auf Ihre IAM Rollen angerechnet, aber wenn Sie Ihr Limit erreicht haben, können Sie in Ihrem Konto trotzdem dienstbezogene Rollen erstellen. Nur serviceverknüpfte Rollen können das Limit überschreiten.

Erstellen einer serviceverknüpften Rolle (Konsole)

Bevor Sie eine dienstverknüpfte Rolle in erstellenIAM, sollten Sie herausfinden, ob der verknüpfte Dienst automatisch dienstverknüpfte Rollen erstellt. Informieren Sie sich außerdem, ob Sie die Rolle über die Dienstkonsole,, oder erstellen können. API CLI

So erstellen Sie eine serviceverknüpfte Rolle (Konsole)
  1. Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM Konsole unter. https://console.aws.amazon.com/iam/

  2. Wählen Sie im Navigationsbereich der IAM Konsole Rollen aus. Wählen Sie anschließend Create role (Rolle erstellen) aus.

  3. Wählen Sie den Rollentyp AWS -Service.

  4. Wählen Sie den Anwendungsfall für den Service. Anwendungsfälle werden durch den Service definiert, damit die für den Service erforderliche Vertrauensrichtlinie enthalten ist. Wählen Sie anschließend Weiter.

  5. Wählen Sie Berechtigungsrichtlinien aus, die Sie an die Rolle anfügen möchten. Je nach ausgewähltem Anwendungsfall führt der Service einen der folgenden Schritte aus:

    • Definieren der Berechtigungen für die Rolle.

    • Erlaubt Ihnen die Auswahl aus einem begrenzten Satz von Berechtigungen.

    • Erlaubt Ihnen die Auswahl aus beliebigen Berechtigungen.

    • Sie dürfen zu diesem Zeitpunkt noch keine Richtlinien auswählen. Erstellen Sie die Richtlinien später und fügen Sie diese dann an die Rolle an.

    Aktivieren Sie das Kontrollkästchen neben der Richtlinie, die der Rolle die gewünschten Berechtigungen zuweist, und wählen Sie dann Next (Weiter) aus.

    Anmerkung

    Die festgelegten Berechtigungen sind für alle Entitäten verfügbar, die die Rolle verwenden. Standardmäßig hat eine Rolle keine Berechtigungen.

  6. Für Role name (Rollenname) werden die Anpassungsmöglichkeiten für den Rollennamen durch den Service festgelegt. Wenn der Service den Namen der Rolle definiert, kann diese Option nicht bearbeitet werden. In anderen Fällen kann der Service ein Präfix für die Rolle festlegen und Ihnen das Eingeben eines optionalen Suffixes erlauben.

    Geben Sie, wenn möglich, ein Suffix für den Rollennamen ein, das dem Standardnamen hinzugefügt wird. Dieses Suffix hilft Ihnen, den Zweck dieser Rolle zu identifizieren. Rollennamen müssen innerhalb Ihres AWS -Kontos eindeutig sein. Es wird hierbei nicht zwischen Groß- und Kleinschreibung unterschieden. z. B. können Sie keine Rollen erstellen, die <service-linked-role-name>_SAMPLE bzw. <service-linked-role-name>_sample heißen. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht bearbeitet werden.

  7. (Optional:) Bearbeiten Sie für Description (Beschreibung) die Beschreibung der neuen serviceverknüpften Rolle.

  8. Sie können während der Erstellung keine Tags an servicegebundene Rollen anfügen. Weitere Informationen zur Verwendung von Tags in IAM finden Sie unterTags für AWS Identity and Access Management Ressourcen.

  9. Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

Erstellen einer serviceverknüpften Rolle (AWS CLI)

Bevor Sie eine dienstverknüpfte Rolle in erstellenIAM, sollten Sie herausfinden, ob der verknüpfte Dienst automatisch dienstverknüpfte Rollen erstellt und ob Sie die Rolle anhand der Rollen des Dienstes erstellen können. CLI Wenn der Dienst nicht unterstützt CLI wird, können Sie IAM Befehle verwenden, um eine dienstverknüpfte Rolle mit der Vertrauensrichtlinie und den Inline-Richtlinien zu erstellen, die der Dienst benötigt, um die Rolle zu übernehmen.

So erstellen Sie eine serviceverknüpfte Rolle (AWS CLI)

Führen Sie den folgenden Befehl aus:

aws iam create-service-linked-role --aws-service-name SERVICE-NAME.amazonaws.com

Eine dienstverknüpfte Rolle erstellen ()AWS API

Bevor Sie eine dienstverknüpfte Rolle in erstellenIAM, sollten Sie herausfinden, ob der verknüpfte Dienst automatisch dienstverknüpfte Rollen erstellt und ob Sie die Rolle anhand der Rollen des Dienstes erstellen können. API Wenn der Dienst nicht unterstützt API wird, können Sie den verwenden, AWS API um eine dienstverknüpfte Rolle mit der Vertrauensrichtlinie und den Inline-Richtlinien zu erstellen, die der Dienst benötigt, um die Rolle zu übernehmen.

Um eine dienstverknüpfte Rolle zu erstellen ()AWS API

Verwenden Sie den CreateServiceLinkedRoleAPIAnruf. Geben Sie in der Anforderung einen Servicenamen im Format SERVICE_NAME_URL.amazonaws.com an.

Zum Erstellen der serviceverknüpften Rolle Lex Bots verwenden Sie z. B. lex.amazonaws.com.