Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für AWS Directory Service
AWS Directory Service verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. AWS Directory Service Mit Diensten verknüpfte Rollen sind vordefiniert AWS Directory Service und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle AWS Directory Service erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Directory Service definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Directory Service kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen enthält die Vertrauens- und Berechtigungsrichtlinie, die keinen anderen IAM-Entitäten zugewiesen werden kann.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch wird verhindert, dass Sie den Zugriff auf Ihre AWS Directory Service Ressourcen verlieren, da Sie die Zugriffsberechtigungen für die Ressourcen nicht versehentlich entfernen können.
Weitere Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren.
Themen
Mit dem Dienst verknüpfte Rollenberechtigungen für AWS Directory Service
Erstellung einer dienstbezogenen Rolle für AWS Directory Service
Bearbeiten einer serviceverknüpften Rolle für AWS Directory Service
Löschen einer dienstbezogenen Rolle für AWS Directory Service
Unterstützte Regionen für serviceverknüpfte Rollen AWS Directory Service
Mit dem Dienst verknüpfte Rollenberechtigungen für AWS Directory Service
AWS Directory Service verwendet die dienstgebundene Rolle mit dem Namen AWSServiceRoleForDirectoryService— Ermöglicht AWS die Überwachung der vom Kunden selbst verwalteten Domänencontroller.
Die serviceverknüpfte Rolle AWSServiceRoleForDirectoryService vertraut darauf, dass die folgenden Services die Rolle annehmen:
-
ds.amazonaws.com
Die genannte Rollenberechtigungsrichtlinie AWSDirectory ServiceServiceRolePolicy ermöglicht es AWS Directory Service , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen. Die vollständigen Richtlinienberechtigungen finden Sie AWSDirectoryServiceServiceRolePolicyin der Referenz für AWS verwaltete Richtlinien.
-
ec2— Ermöglicht dem Dienst, Netzwerkressourcen wie Subnetze VPCs, Sicherheitsgruppen und Netzwerkschnittstellen zu beschreiben, um hybride Konnektivitätskonfigurationen zu validieren:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— Ermöglicht dem Dienst, PowerShell Guilabels zu Überwachungs- und Bewertungszwecken an lokale Domänencontroller zu senden und zu überwachen:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellung einer dienstbezogenen Rolle für AWS Directory Service
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie AWS die Überwachung der selbstverwalteten Domänencontroller des Kunden in der AWS Management Console, der oder der AWS API AWS CLI zulassen, AWS Directory Service wird die serviceverknüpfte Rolle für Sie erstellt. Weitere Informationen zu dieser Änderung finden Sie unter Richtlinienaktualisierungen.
Wichtig
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Außerdem gilt: Wenn Sie den AWS Directory Service Dienst vor dem 1. Januar 2017 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, haben Sie die AWSServiceRoleForDirectoryServiceRolle dann in Ihrem Konto AWS Directory Service erstellt. Weitere Informationen finden Sie unter Eine neue Rolle ist in meinem AWS-Konto erschienen.
Bearbeiten einer serviceverknüpften Rolle für AWS Directory Service
AWS Directory Service erlaubt es Ihnen nicht, die AWSServiceRoleForDirectoryServicedienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer dienstbezogenen Rolle für AWS Directory Service
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der AWS Directory Service Dienst die Rolle zu dem Zeitpunkt verwendet, zu dem Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um AWS Directory Service Ressourcen zu löschen, die verwendet werden von AWSService RoleForDirectoryService
-
Informationen zum Löschen Ihres Verzeichnisses finden Sie unterLöschen Ihres AWS verwalteten Microsoft AD.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSServiceRoleForDirectoryServiceserviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für serviceverknüpfte Rollen AWS Directory Service
AWS Directory Service unterstützt nicht die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. AWS Directory Service Verwendet die AWSServiceRoleForDirectoryServiceRolle jedoch nur dort, AWS-Regionen wo Sie sich für Hybridverzeichnisse anmelden können.
| Name der Region | Regions-ID | Opt-in-Unterstützung |
|---|---|---|
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Naher Osten (Bahrain) | me-south-1 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | Ja |
| Afrika (Kapstadt) | af-south-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Naher Osten (VAE) | me-central-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| Asien-Pazifik (Hongkong) | ap-east-1 | Ja |
| Asien-Pazifik (Hyderabad) | ap-south-2 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | Ja |
| Europa (Mailand) | eu-south-1 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Europa (Spanien) | eu-south-2 | Ja |
| Europa (Zürich) | eu-central-2 | Ja |
