Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von dienstverknüpften Rollen für AWS Config
AWS Config verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, mit dem direkt verknüpft ist. IAM AWS Config Mit Diensten verknüpfte Rollen sind vordefiniert AWS Config und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Config erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Config definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Config kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie, und diese Berechtigungsrichtlinie kann keiner anderen IAM Entität zugeordnet werden.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie nach den Diensten, für die in der Spalte Dienstverknüpfte Rolle der Wert Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen für dienstverknüpfte Rollen für AWS Config
AWS Config verwendet die angegebene dienstverknüpfte Rolle AWSServiceRoleForConfig— AWS Config verwendet diese dienstbezogene Rolle, um andere AWS Dienste in Ihrem Namen aufzurufen.
Die AWSServiceRoleForConfigdienstbezogene Rolle vertraut darauf, dass der config.amazonaws.com Dienst die Rolle übernimmt.
Die Berechtigungsrichtlinie für die AWSServiceRoleForConfig Rolle umfasst nur Lese- und Schreibberechtigungen für Ressourcen und nur Leseberechtigungen für AWS Config Ressourcen in anderen Diensten, die diese Funktion unterstützen. AWS Config Informationen zur Anzeige der verwalteten Richtlinie finden Sie unter Verwaltete Richtlinien für AWSServiceRoleForConfig.AWSAWS Config Weitere Informationen finden Sie unter Unterstützte Ressourcentypen.
Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Berechtigungen für dienstverknüpfte Rollen im IAMBenutzerhandbuch.
Um eine serviceverknüpfte Rolle mit zu verwenden AWS Config, müssen Sie Berechtigungen für Ihren Amazon S3 S3-Bucket und Ihr SNS Amazon-Thema konfigurieren. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen Rollen, Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery) und Erforderliche Berechtigungen für das SNS Amazon-Thema bei der Verwendung von serviceverknüpften Rollen.
Erstellen einer serviceverknüpften Rolle für AWS Config
Erstellen Sie im IAM CLI oder im IAM API eine dienstverknüpfte Rolle mit dem config.amazonaws.com Dienstnamen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer dienstbezogenen Rolle. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
Bearbeiten einer serviceverknüpften Rolle für AWS Config
AWS Config erlaubt es Ihnen nicht, die AWSServiceRoleForConfigdienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können die Beschreibung der Rolle jedoch mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAMBenutzerhandbuch.
Löschen einer serviceverknüpften Rolle für AWS Config
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der AWS Config Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um AWS Config Ressourcen zu löschen, die verwendet werden von AWSServiceRoleForConfig
Achten Sie darauf, dass ConfigurationRecorders nicht die serviceverknüpfte Rolle verwendet. Sie können die AWS Config Konsole verwenden, um den Konfigurationsrekorder zu beenden. Zum Beenden der Aufzeichnung wählen Sie unter Recording is on (Aufnahme ist an) die Option Turn off (Ausschalten) aus.
Sie können die ConfigurationRecorder Verwendung von löschen AWS Config API. Verwenden Sie zum Löschen den Befehl delete-configuration-recorder.
$ aws configservice delete-configuration-recorder --configuration-recorder-namedefault
Um die mit dem Service verknüpfte Rolle manuell zu löschen, verwenden Sie IAM
Verwenden Sie die IAM Konsole, den oder IAMCLI, IAM API um die AWSServiceRoleForConfig dienstverknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.
