Serviceverknüpfte Rollen in elastischen Clustern - Amazon DocumentDB
Dienstbezogene Rollenberechtigungen für elastische Cluster

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Serviceverknüpfte Rollen in elastischen Clustern

Elastische Amazon DocumentDB-Cluster verwenden AWS Identity and Access Management (IAM) service-verknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit elastischen Amazon DocumentDB-Clustern verknüpft ist. Servicebezogene Rollen sind von Amazon DocumentDB Elastic Clusters vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Services in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle erleichtert die Verwendung von Amazon DocumentDB Elastic Clusters, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon DocumentDB Elastic Clusters definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern nicht anders definiert, können nur Amazon DocumentDB Elastic Clusters diese Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden. Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dadurch werden Ihre Amazon DocumentDB Elastic Cluster-Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS Services, die mit IAM funktionieren. Suchen Sie in der Spalte Service-Linked Role nach den Services, die mit Ja markiert sind. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für elastische Cluster

Amazon DocumentDB Elastic Clusters verwendet die benannte serviceverknüpfte RolleAWS ServiceRoleForDocDB-Elastic, um es Amazon DocumentDB Elastic Clusters zu ermöglichen, AWS Dienste im Namen Ihrer Cluster aufzurufen.

Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonDocDB-ElasticServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt. Die Rollenberechtigungsrichtlinie ermöglicht es Amazon DocumentDB Elastic Clusters, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": [
                        "AWS/DocDB-Elastic"
                    ]
                }
            }
        }
    ]
}
Anmerkung

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie auf die folgende Fehlermeldung stoßen: „Die Ressource konnte nicht erstellt werden. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später erneut.“ , stellen Sie sicher, dass Sie die folgenden Berechtigungen aktiviert haben:


{
"Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/docdb-elastic.amazonaws.com/AWSServiceRoleForDocDB-Elastic",
    "Condition": {
"StringLike": {
"iam:AWSServiceName":"docdb-elastic.amazonaws.com"
        }
    }
}

Weitere Informationen finden Sie unter Dienstbezogene Rollenberechtigungen im AWS Identity and Access Management-Benutzerhandbuch.

Eine serviceverknüpfte Rolle für elastische Amazon DocumentDB-Cluster erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie eine DB-Instance erstellen, erstellt Amazon DocumentDB Elastic Clusters die serviceverknüpfte Rolle für Sie.

Bearbeiten einer serviceverknüpften Rolle für elastische Amazon DocumentDB-Cluster

Elastische Amazon DocumentDB-Cluster ermöglichen es Ihnen nicht, die AWS ServiceRoleForDocDB-Elastic serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im AWS Identity and Access Management-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon DocumentDB Elastic Clusters

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre -Cluster löschen, bevor Sie die serviceverknüpfte Rolle löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

Um zu überprüfen, ob die serviceverknüpfte Rolle eine aktive Sitzung in der IAM-Konsole hat:

  1. Melden Sie sich bei der AWS Management Console an und öffnen Sie die IAM-Konsole.

  2. Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der Rolle AWS ServiceRoleForDocDB-Elastic aus.

  3. Wählen Sie auf der Seite Summary (Zusammenfassung) für die ausgewählte Rolle die Registerkarte Access Advisor (Advisor aufrufen) aus.

Anmerkung

Wenn Sie sich nicht sicher sind, ob Amazon DocumentDB Elastic Clusters die AWS ServiceRoleForDocDB-Elastic Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt das Löschen fehl und Sie können sehen AWS-Regionen , wo die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Wenn Sie die AWS ServiceRoleForDocDB-Elastic Rolle entfernen möchten, müssen Sie zuerst alle Ihre Cluster löschen.

Löschen aller Ihrer Cluster

Um einen Cluster in der Amazon DocumentDB DocumentDB-Konsole zu löschen:

  1. Melden Sie sich bei der an AWS Management Consoleund öffnen Sie die Amazon DocumentDB DocumentDB-Konsole.

  2. Klicken Sie im Navigationsbereich auf Cluster.

  3. Wählen Sie den Cluster aus, den Sie löschen möchten.

  4. Klicken Sie bei Actions auf Delete.

  5. Wenn Sie aufgefordert werden, den endgültigen Snapshot zu erstellen? , wählen Sie Ja oder Nein.

  6. Wenn Sie im vorherigen Schritt Yes (Ja) gewählt haben, geben Sie unter Final snapshot name (Endgültiger Snapshot-Name) den Namen Ihres endgültigen DB-Snapshots ein.

  7. Wählen Sie Delete (Löschen).

Anmerkung

Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die serviceverknüpfte Rolle AWS ServiceRoleForDocDB-Elastic zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im AWS Identity and Access Management-Benutzerhandbuch.