Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für Amazon FSx
Amazon FSx for Windows File Server verwendet AWS Identity and Access Management (IAM) service-verknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon FSx verknüpft ist. Servicebezogene Rollen sind von Amazon FSx vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Services in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon FSx, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon FSx definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon FSx seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Amazon FSx-Ressourcen, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Servicebezogene Rollenberechtigungen für Amazon FSx
Amazon FSx verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForAmazonFSx —, die bestimmte Aktionen in Ihrem Konto ausführt, z. B. das Erstellen von Elastic Network Interfaces für Ihre Dateisysteme in Ihrer VPC.
Die Rollenberechtigungsrichtlinie ermöglicht es Amazon FSx, die folgenden Aktionen für alle zutreffenden AWS Ressourcen durchzuführen:
Sie können AmazonF nicht an Ihre SxServiceRolePolicy IAM-Entitäten anhängen. Diese Richtlinie ist mit einer dienstbezogenen Rolle verknüpft, die es FSx ermöglicht, AWS Ressourcen in Ihrem Namen zu verwalten. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für Amazon FSx.
Aktualisierungen dieser Richtlinie finden Sie unter AmazonFSxServiceRolePolicy
Diese Richtlinie gewährt Administratorberechtigungen, die es FSx ermöglichen, AWS Ressourcen im Namen des Benutzers zu verwalten.
Details zu Berechtigungen
Die SxServiceRolePolicy Rollenberechtigungen von AmazonF werden durch die von AmazonF verwaltete Richtlinie SxServiceRolePolicy AWS definiert. AmazonF SxServiceRolePolicy hat die folgenden Berechtigungen:
Anmerkung
AmazonF SxServiceRolePolicy wird von allen Amazon FSx-Dateisystemtypen verwendet; einige der aufgelisteten Berechtigungen gelten möglicherweise nicht für FSx für Windows.
-
ds— Ermöglicht FSx, Anwendungen in Ihrem Verzeichnis anzusehen, zu autorisieren und zu entautorisieren. AWS Directory Service -
ec2— Ermöglicht FSx, Folgendes zu tun:Netzwerkschnittstellen, die mit einem Amazon FSx-Dateisystem verknüpft sind, anzeigen, erstellen und trennen.
Zeigen Sie eine oder mehrere Elastic IP-Adressen an, die mit einem Amazon FSx-Dateisystem verknüpft sind.
Sehen Sie sich Amazon-VPCs, Sicherheitsgruppen und Subnetze an, die mit einem Amazon FSx-Dateisystem verknüpft sind.
Um eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen bereitzustellen, die mit einer VPC verwendet werden können.
Erstellen Sie eine Berechtigung für einen AWS-autorisierten Benutzer, bestimmte Operationen an einer Netzwerkschnittstelle auszuführen.
-
cloudwatch— Ermöglicht FSx, metrische Datenpunkte CloudWatch unter dem AWS/FSx-Namespace zu veröffentlichen. -
route53— Ermöglicht FSx, eine Amazon-VPC mit einer privaten gehosteten Zone zu verknüpfen. -
logs— Ermöglicht FSx, CloudWatch Log-Streams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer Dateizugriffs-Auditprotokolle für ein FSx for Windows File Server Server-Dateisystem an einen CloudWatch Logs-Stream senden. -
firehose— Ermöglicht FSx, Amazon Data Firehose-Lieferstreams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer die Dateizugriffs-Audit-Logs für ein FSx for Windows File Server Server-Dateisystem in einem Amazon Data Firehose-Lieferstream veröffentlichen.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
Alle Aktualisierungen dieser Richtlinie werden unter beschrieben. Amazon-FSx-Aktualisierungen für - AWS verwaltete Richtlinien
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.
Eine serviceverknüpfte Rolle für Amazon FSx erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie ein Dateisystem in der AWS Management Console, der IAM-CLI oder der IAM-API erstellen, erstellt Amazon FSx die serviceverknüpfte Rolle für Sie.
Wichtig
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter Eine neue Rolle ist in meinem IAM-Konto erschienen.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie ein Dateisystem erstellen, erstellt Amazon FSx die serviceverknüpfte Rolle erneut für Sie.
Bearbeitung einer serviceverknüpften Rolle für Amazon FSx
Amazon FSx erlaubt Ihnen nicht, die serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Amazon FSx
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre Dateisysteme und Backups löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
Anmerkung
Wenn der Amazon FSx-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die -serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.
Unterstützte Regionen für serviceverknüpfte Amazon FSx-Rollen
Amazon FSx unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS Regionen und Endpunkte.
