Mit Diensten verknüpfte Rollen für AWS CloudHSM

Die IAM-Richtlinie, die Sie zuvor erstellt haben, Vom Kunden verwaltete Richtlinien für AWS CloudHSM beinhaltet die iam:CreateServiceLinkedRole Aktion. AWS CloudHSM definiert eine serviceverknüpfte Rolle mit dem Namen. AWSServiceRoleForCloudHSM Die Rolle ist vordefiniert von AWS CloudHSM und umfasst Berechtigungen, die AWS CloudHSM erforderlich sind, um andere AWS Dienste in Ihrem Namen aufzurufen. Die Rolle vereinfacht die Einrichtung Ihres Service, da Sie die Rollenrichtlinie und Berechtigungen der Vertrauensrichtlinie nicht manuell hinzufügen müssen.

Die Rollenrichtlinie ermöglicht es AWS CloudHSM , Amazon CloudWatch Logs-Protokollgruppen und Log-Streams zu erstellen und Protokollereignisse in Ihrem Namen zu schreiben. Sie können sie nachstehend und in der IAM-Konsole einsehen.

{
    "Version": "2018-06-12",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}

Die Vertrauensrichtlinie für die AWSServiceRoleForCloudHSMRolle ermöglicht es AWS CloudHSM , die Rolle zu übernehmen.

{
  "Version": "2018-06-12",
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudhsm.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

Erstellen einer serviceverknüpften Rolle (automatisch)

AWS CloudHSM erstellt die AWSServiceRoleForCloudHSMRolle, wenn Sie einen Cluster erstellen, wenn Sie die iam:CreateServiceLinkedRole Aktion in die Berechtigungen aufnehmen, die Sie bei der Erstellung der AWS CloudHSM Administratorgruppe definiert haben. Siehe Vom Kunden verwaltete Richtlinien für AWS CloudHSM.

Wenn Sie bereits über einen oder mehrere Cluster verfügen und nur die AWSServiceRoleForCloudHSMRolle hinzufügen möchten, können Sie die Konsole, den Befehl create-cluster oder die CreateClusterAPI-Operation verwenden, um einen Cluster zu erstellen. Verwenden Sie dann die Konsole, den Befehl delete-cluster oder den DeleteClusterAPI-Vorgang, um ihn zu löschen. Beim Erstellen des neuen Clusters wird die serviceverknüpfte Rolle erstellt und auf alle Cluster in Ihrem Konto angewandt. Alternativ können Sie die Rolle manuell erstellen. Weitere Informationen finden Sie im folgenden Abschnitt.

Anmerkung

Sie müssen nicht alle unter Erstellen eines Clusters beschriebenen Schritte ausführenErste Schritte mit AWS CloudHSM, wenn Sie ihn nur erstellen, um die Rolle hinzuzufügen. AWSServiceRoleForCloudHSM

Erstellen einer serviceverknüpften Rolle (manuell)

Sie können die IAM-Konsole oder API verwenden AWS CLI, um die AWSServiceRoleForCloudHSMRolle zu erstellen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpfte Rolle im IAM-Leitfaden.

Bearbeiten der serviceverknüpften Rolle

AWS CloudHSM erlaubt Ihnen nicht, die AWSServiceRoleForCloudHSMRolle zu bearbeiten. Nachdem die Rolle erstellt wurde, können Sie z. B. nicht ihren Namen ändern, da möglicherweise verschiedene Entitäten unter dem Namen auf die Rolle verweisen. Die Rollenrichtlinie kann ebenfalls nicht geändert werden. Sie können mithilfe von IAM jedoch die Beschreibung der Rolle bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen der serviceverknüpften -Rolle

Eine serviceverknüpfte Rolle kann nicht gelöscht werden, solange noch Cluster vorhanden sind, auf die sie angewendet wurde. Um die Rolle zu löschen, müssen Sie zuerst die einzelnen HSM im Cluster und dann den Cluster selbst löschen. Jeder Cluster in Ihrem Konto muss gelöscht werden. Sie können dann die IAM-Konsole oder API verwenden AWS CLI, um die Rolle zu löschen. Weitere Informationen zum Löschen eines Clusters finden Sie unter Löschen eines AWS CloudHSM Clusters. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.