Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für Amazon Lightsail
Amazon Lightsail verwendet serviceverknüpfte Rollen von AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Amazon Lightsail verknüpft ist. Serviceverknüpfte Rollen werden von Amazon Lightsail vordefiniert und umfassen alle Berechtigungen, die Lightsail zum Aufrufen anderer AWS-Services in Ihrem Namen benötigt.
Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Amazon Lightsail, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Lightsail definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur Amazon Lightsail die Rollen übernehmen. Die definierten Berechtigungen enthält die Vertrauens- und Berechtigungsrichtlinie, die keinen anderen IAM-Entitäten zugewiesen werden kann.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Amazon Lightsail-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen von serviceverknüpften Rollen für Amazon Lightsail
Amazon Lightsail verwendet die serviceverknüpfte Rolle AWSServiceRoleForLightsail – Rolle, um Lightsail-Instance- und Blockspeicher-Festplatten-Snapshots nach Amazon Elastic Compute Cloud (Amazon EC2) zu exportieren und die aktuelle Block-Public-Access-Konfiguration auf Kontoebene von Amazon Simple Storage Service (Amazon S3) abzurufen.
Die serviceverknüpfte Rolle AWSServiceRoleForLightsail vertraut den folgenden Services, die diese Rolle annehmen:
-
lightsail.amazonaws.com
Die Rollenberechtigungsrichtlinie erlaubt Amazon Lightsail die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:
-
Aktion:
ec2:CopySnapshot
auf alle AWS-Ressourcen. -
Aktion:
ec2:DescribeSnapshots
auf alle AWS-Ressourcen. -
Aktion:
ec2:CopyImage
auf alle AWS-Ressourcen. -
Aktion:
ec2:DescribeImages
auf alle AWS-Ressourcen. -
Aktion:
cloudformation:DescribeStacks
auf alle AWS-AWS CloudFormation-Stacks. -
Aktion:
s3:GetAccountPublicAccessBlock
auf alle AWS-Ressourcen.
Berechtigungen von serviceverknüpften Rollen
Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppen oder Rollen) die Beschreibung einer serviceverknüpften Rolle erstellen oder bearbeiten können.
So erlauben Sie einer IAM-Entität das Erstellen einer bestimmten serviceverknüpften Rolle
Fügen Sie die folgende Richtlinie der IAM-Entität hinzu, um die serviceverknüpfte Rolle zu erstellen.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*", "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" } ] }
So erlauben Sie einer IAM-Entität das Erstellen einer beliebigen serviceverknüpften Rolle
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um eine serviceverknüpfte Rolle oder eine beliebige Servicerolle zu erstellen, die die benötigten Richtlinien enthält. Diese Richtlinie fügt eine Richtlinie an die Rolle an.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
So erlauben Sie einer IAM-Entität das Bearbeiten der Beschreibung von beliebigen Servicerollen
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um die Beschreibung einer serviceverknüpften Rolle oder einer beliebigen Servicerolle zu bearbeiten.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
So erlauben Sie einer IAM-Entität das Löschen einer bestimmten serviceverknüpften Rolle
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die die serviceverknüpfte Rolle löschen soll.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" }
So erlauben Sie einer IAM-Entität das Löschen einer beliebigen Servicerolle
Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die eine serviceverknüpfte Rolle oder eine beliebige Servicerolle löschen soll.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Alternativ können Sie eine verwaltete AWS-Richtlinie verwenden, um Vollzugriff auf den Service zu gewähren.
Erstellen einer serviceverknüpften Rolle für Amazon Lightsail
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihren Lightsail-Instance- oder Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket in der AWS AWS Management Console, der AWS CLI oder der AWS-API erstellen oder aktualisieren, wird von Amazon Lightsail die serviceverknüpfte Rolle für Sie erstellt.
Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie Ihren Lightsail-Instance- oder Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket erstellen oder aktualisieren, wird von Amazon Lightsail die serviceverknüpfte Rolle für Sie erstellt.
Wichtig
Sie müssen die IAM-Berechtigungen so konfigurieren, dass es Amazon Lightsail erlaubt ist, die servicegebundene Rolle zu erstellen. Führen Sie dazu die Schritte aus, die sich im folgenden Abschnitt Berechtigungen von serviceverknüpften Rollen befinden.
Bearbeiten einer serviceverknüpften Rolle für Amazon Lightsail
Amazon Lightsail berechtigt Sie nicht zum Bearbeiten der serviceverknüpften Rolle AWSServiceRoleForCloudLightsail. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Amazon Lightsail
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch bestätigen, dass keine Amazon Lightsail-Instance- oder Festplatten-Snapshots in einem ausstehenden Kopierzustand vorhanden sind, bevor Sie die serviceverknüpfte Rolle AWSServiceRoleForLightsail löschen können. Weitere Informationen finden Sie unter Exportieren von Snapshots nach Amazon EC2.
So löschen Sie die servicegebundene Rolle mit IAM
Verwenden Sie die IAM-Konsole, die AWS CLI oder die AWS-API, um die serviceverknüpfte Rolle AWSServiceRoleForLightsail zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für serviceverknüpfte Amazon Lightsail-Rollen
Amazon Lightsail unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen zu den Regionen, in denen Lightsail verfügbar ist, finden Sie unter Amazon Lightsail-Regionen.