Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwendung von serviceverknüpften Rollen für Amazon EFS
Amazon Elastic File System verwendet eineAWS Identity and Access Management (IAM) serviceverknüpfte Rolle. Die serviceverknüpfte Rolle von Amazon EFS ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon EFS verknüpft ist. Die vordefinierte serviceverknüpfte Rolle von Amazon EFS umfasst Berechtigungen, die der Service für den Aufruf anderer inAWS-Services Ihrem Namen benötigt.
Eine servicegebundene Rolle vereinfacht die Einrichtung von Amazon EFS, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon EFS definiert die Berechtigungen seiner serviceverknüpften Rolle, und nur Amazon EFS kann seine Rolle übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können die serviceverknüpfte Rolle von Amazon EFS nur löschen, wenn Sie zuvor Ihre Amazon-EFS-Dateisysteme gelöscht haben. Dies schützt Ihre Amazon-EFS-Ressourcen, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entfernen können.
Serviceverknüpfte Rollen ermöglichen auch, dass alle API-Aufrufe über AWS CloudTrail sichtbar sind. Das hilft bei Überwachungs- und Prüfungsanforderungen, da Sie alle in Ihrem Namen von Amazon EFS ausgeführten Aktionen nachverfolgen können. Weitere Informationen finden Sie unter Protokolleinträge für serviceverknüpfte EFS-Rollen.
Serviceverknüpfte Rollenberechtigungen für Amazon EFS
Amazon EFS verwendet die serviceverknüpfte Rolle benanntAWSServiceRoleForAmazonElasticFileSystem, um es Amazon EFS zu ermöglichen,AWS Ressourcen im Namen Ihrer EFS-Dateisysteme aufzurufen und zu verwalten.
Die serviceverknüpfte Rolle AWSServiceRoleForAmazonElasticFileSystem vertraut darauf, dass die folgenden Services die Rolle annehmen:
-
elasticfilesystem.amazonaws.com
Die Richtlinie für Rollenberechtigungen erlaubt Amazon EFS, die in der Richtliniendefinition JSON enthaltenen Aktionen durchzuführen:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup-storage:MountCapsule", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaceAttribute", "ec2:ModifyNetworkInterfaceAttribute", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "backup:CreateBackupVault", "backup:PutBackupVaultAccessPolicy" ], "Resource": [ "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault" ] }, { "Effect": "Allow", "Action": [ "backup:CreateBackupPlan", "backup:CreateBackupSelection" ], "Resource": [ "arn:aws:backup:*:*:backup-plan:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "backup.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup" ], "Condition": { "StringLike": { "iam:PassedToService": "backup.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration" ], "Resource": "*" } ] }
Anmerkung
Sie müssen die IAM-Berechtigungen manuell konfigurieren,AWS KMS wenn Sie ein neues Amazon EFS-Dateisystem erstellen, das im Ruhezustand verschlüsselt ist. Weitere Informationen hierzu finden Sie unter Verschlüsseln von Daten im Ruhezustand.
Erstellen einer serviceverknüpften Rolle für Amazon EFS
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eine servicegebundene Rolle erstellen kann. Fügen Sie dafür dieiam:CreateServiceLinkedRole Berechtigung einer IAM-Entität hinzu, wie im folgenden Beispiel gezeigt.
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "elasticfilesystem.amazonaws.com" ] } } }
Weitere Informationen finden Sie unter Berechtigungen für serviceverknüpfte Rollen im IAM-Benutzerhandbuch.
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Mountziele oder eine Replikationskonfiguration für Ihr EFS-Dateisystem in derAWS Management ConsoleAWS CLI, der oder derAWS API erstellen, erstellt Amazon EFS die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie Mountziele oder eine Replikationskonfiguration für Ihr EFS-Dateisystem erstellen, erstellt Amazon EFS die serviceverknüpfte Rolle erneut für Sie.
Bearbeiten einer serviceverknüpften Rolle für Amazon EFS
Amazon EFS erlaubt Ihnen nicht, dieAWSServiceRoleForAmazonElasticFileSystem serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Amazon EFS
Wenn Sie eine Funktion oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der Amazon-EFS-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt der Löschvorgang möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um Amazon EFS-Ressourcen zu löschen, die von derAWSServiceRoleForAmazonElasticFileSystem
Führen Sie die folgenden Schritte aus, um die von der verwendeten Amazon EFS-Ressourcen zu löschenAWSServiceRoleForAmazonElasticFileSystem. Das detaillierte Verfahren finden Sie unterSäubern Sie Ressourcen und schützen Sie Ihr AWS Konto.
-
Stellen Sie auf Ihrer Amazon-EC2-Instance das Amazon-EFS-Dateisystem bereit.
-
Löschen Sie das Amazon-EFS-Dateisystem.
-
Löschen Sie die benutzerdefinierte Sicherheitsgruppe für das Dateisystem.
Warnung
Wenn Sie die Standardsicherheitsgruppe für Ihre Virtual Private Cloud (VPC) verwendet haben, löschen Sie diese Sicherheitsgruppe nicht.
So löschen Sie die servicegebundene Rolle mit IAM
Verwenden Sie die IAM-Konsole, AWS CLI- oder AWS-API, um die AWSServiceRoleForAmazonElasticFileSystem serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
