Verwenden von serviceverknüpften Rollen für Amazon Lightsail - Amazon Lightsail
Berechtigungen von serviceverknüpften Rollen für Amazon LightsailErstellen einer serviceverknüpften Rolle für Amazon LightsailBearbeiten einer serviceverknüpften Rolle für Amazon LightsailLöschen einer serviceverknüpften Rolle für Amazon LightsailUnterstützte Regionen für serviceverknüpfte Amazon Lightsail-Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für Amazon Lightsail

Amazon Lightsail verwendet serviceverknüpfte Rollen von AWS Identity and Access Management (IAM). Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Amazon Lightsail verknüpft ist. Serviceverknüpfte Rollen werden von Amazon Lightsail vordefiniert und umfassen alle Berechtigungen, die Lightsail zum Aufrufen anderer AWS-Services in Ihrem Namen benötigt.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von Amazon Lightsail, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Lightsail definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur Amazon Lightsail die Rollen übernehmen. Die definierten Berechtigungen enthält die Vertrauens- und Berechtigungsrichtlinie, die keinen anderen IAM-Entitäten zugewiesen werden kann.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre Amazon Lightsail-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für Amazon Lightsail

Amazon Lightsail verwendet die serviceverknüpfte Rolle AWSServiceRoleForLightsail – Rolle, um Lightsail-Instance- und Blockspeicher-Festplatten-Snapshots nach Amazon Elastic Compute Cloud (Amazon EC2) zu exportieren und die aktuelle Block-Public-Access-Konfiguration auf Kontoebene von Amazon Simple Storage Service (Amazon S3) abzurufen.

Die serviceverknüpfte Rolle AWSServiceRoleForLightsail vertraut den folgenden Services, die diese Rolle annehmen:

  • lightsail.amazonaws.com

Die Rollenberechtigungsrichtlinie erlaubt Amazon Lightsail die Durchführung der folgenden Aktionen für die angegebenen Ressourcen:

  • Aktion: ec2:CopySnapshot auf alle AWS-Ressourcen.

  • Aktion: ec2:DescribeSnapshots auf alle AWS-Ressourcen.

  • Aktion: ec2:CopyImage auf alle AWS-Ressourcen.

  • Aktion: ec2:DescribeImages auf alle AWS-Ressourcen.

  • Aktion: cloudformation:DescribeStacks auf alle AWS-AWS CloudFormation-Stacks.

  • Aktion: s3:GetAccountPublicAccessBlock auf alle AWS-Ressourcen.

Berechtigungen von serviceverknüpften Rollen

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppen oder Rollen) die Beschreibung einer serviceverknüpften Rolle erstellen oder bearbeiten können.

So erlauben Sie einer IAM-Entität das Erstellen einer bestimmten serviceverknüpften Rolle

Fügen Sie die folgende Richtlinie der IAM-Entität hinzu, um die serviceverknüpfte Rolle zu erstellen.


{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
        }
    ]
}

So erlauben Sie einer IAM-Entität das Erstellen einer beliebigen serviceverknüpften Rolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um eine serviceverknüpfte Rolle oder eine beliebige Servicerolle zu erstellen, die die benötigten Richtlinien enthält. Diese Richtlinie fügt eine Richtlinie an die Rolle an.


{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

So erlauben Sie einer IAM-Entität das Bearbeiten der Beschreibung von beliebigen Servicerollen

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um die Beschreibung einer serviceverknüpften Rolle oder einer beliebigen Servicerolle zu bearbeiten.


{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

So erlauben Sie einer IAM-Entität das Löschen einer bestimmten serviceverknüpften Rolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die die serviceverknüpfte Rolle löschen soll.


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}

So erlauben Sie einer IAM-Entität das Löschen einer beliebigen Servicerolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die eine serviceverknüpfte Rolle oder eine beliebige Servicerolle löschen soll.


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Alternativ können Sie eine verwaltete AWS-Richtlinie verwenden, um Vollzugriff auf den Service zu gewähren.

Erstellen einer serviceverknüpften Rolle für Amazon Lightsail

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihren Lightsail-Instance- oder Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket in der AWS AWS Management Console, der AWS CLI oder der AWS-API erstellen oder aktualisieren, wird von Amazon Lightsail die serviceverknüpfte Rolle für Sie erstellt.

Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie Ihren Lightsail-Instance- oder Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket erstellen oder aktualisieren, wird von Amazon Lightsail die serviceverknüpfte Rolle für Sie erstellt.

Wichtig

Sie müssen die IAM-Berechtigungen so konfigurieren, dass es Amazon Lightsail erlaubt ist, die servicegebundene Rolle zu erstellen. Führen Sie dazu die Schritte aus, die sich im folgenden Abschnitt Berechtigungen von serviceverknüpften Rollen befinden.

Bearbeiten einer serviceverknüpften Rolle für Amazon Lightsail

Amazon Lightsail berechtigt Sie nicht zum Bearbeiten der serviceverknüpften Rolle AWSServiceRoleForCloudLightsail. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon Lightsail

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch bestätigen, dass keine Amazon Lightsail-Instance- oder Festplatten-Snapshots in einem ausstehenden Kopierzustand vorhanden sind, bevor Sie die serviceverknüpfte Rolle AWSServiceRoleForLightsail löschen können. Weitere Informationen finden Sie unter Exportieren von Snapshots nach Amazon EC2.

So löschen Sie die servicegebundene Rolle mit IAM

Verwenden Sie die IAM-Konsole, die AWS CLI oder die AWS-API, um die serviceverknüpfte Rolle AWSServiceRoleForLightsail zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Unterstützte Regionen für serviceverknüpfte Amazon Lightsail-Rollen

Amazon Lightsail unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen zu den Regionen, in denen Lightsail verfügbar ist, finden Sie unter Amazon Lightsail-Regionen.