Verwenden Sie serviceverknüpfte Rollen für Amazon Lightsail - Amazon Lightsail

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie serviceverknüpfte Rollen für Amazon Lightsail

Amazon Lightsail verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon Lightsail verknüpft ist. Servicebezogene Rollen sind von Amazon Lightsail vordefiniert und beinhalten alle Berechtigungen, die Lightsail benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine serviceverknüpfte Rolle erleichtert die Einrichtung von Amazon Lightsail, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Lightsail definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Lightsail seine Rollen übernehmen. Die definierten Berechtigungen enthält die Vertrauens- und Berechtigungsrichtlinie, die keinen anderen IAM-Entitäten zugewiesen werden kann.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre Amazon Lightsail-Ressourcen geschützt, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.

Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Servicebezogene Rollenberechtigungen für Amazon Lightsail

Amazon Lightsail verwendet die mit dem Service verknüpfte Rolle AWSServiceRoleForLightsail— Rolle, um Lightsail-Instance- und Blockspeicher-Festplatten-Snapshots nach Amazon Elastic Compute Cloud (Amazon EC2) zu exportieren und die aktuelle Block Public Access-Konfiguration auf Kontoebene von Amazon Simple Storage Service (Amazon S3) abzurufen.

Die AWSServiceRoleForLightsail serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • lightsail.amazonaws.com

Die Rollenberechtigungsrichtlinie ermöglicht es Amazon Lightsail, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: für alle ec2:CopySnapshot AWS Ressourcen.

  • Aktion: ec2:DescribeSnapshots für alle AWS Ressourcen.

  • Aktion: ec2:CopyImage für alle AWS Ressourcen.

  • Aktion: ec2:DescribeImages für alle AWS Ressourcen.

  • Aktion: cloudformation:DescribeStacks auf allen AWS CloudFormation AWS-Stacks.

  • Aktion: s3:GetAccountPublicAccessBlock auf allen AWS Ressourcen.

Berechtigungen von serviceverknüpften Rollen

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppen oder Rollen) die Beschreibung einer serviceverknüpften Rolle erstellen oder bearbeiten können.

So erlauben Sie einer IAM-Entität das Erstellen einer bestimmten serviceverknüpften Rolle

Fügen Sie die folgende Richtlinie der IAM-Entität hinzu, um die serviceverknüpfte Rolle zu erstellen.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*", "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" } ] }

So erlauben Sie einer IAM-Entität das Erstellen einer beliebigen serviceverknüpften Rolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um eine serviceverknüpfte Rolle oder eine beliebige Servicerolle zu erstellen, die die benötigten Richtlinien enthält. Diese Richtlinie fügt eine Richtlinie an die Rolle an.

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

So erlauben Sie einer IAM-Entität das Bearbeiten der Beschreibung von beliebigen Servicerollen

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um die Beschreibung einer serviceverknüpften Rolle oder einer beliebigen Servicerolle zu bearbeiten.

{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

So erlauben Sie einer IAM-Entität das Löschen einer bestimmten serviceverknüpften Rolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die die serviceverknüpfte Rolle löschen soll.

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" }

So erlauben Sie einer IAM-Entität das Löschen einer beliebigen Servicerolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, die eine serviceverknüpfte Rolle oder eine beliebige Servicerolle löschen soll.

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

Alternativ können Sie eine AWS verwaltete Richtlinie verwenden, um vollen Zugriff auf den Dienst zu gewähren.

Eine serviceverknüpfte Rolle für Amazon Lightsail erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie Ihre Lightsail-Instance oder Ihren Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket in der, der oder der AWS API erstellen oder aktualisieren AWS AWS Management Console, erstellt Amazon Lightsail die serviceverknüpfte Rolle für Sie. AWS CLI

Wenn Sie diese dienstverknüpfte Rolle löschen und erneut erstellen müssen, können Sie die Rolle in Ihrem Konto auf dieselbe Weise neu erstellen. Wenn Sie Ihre Lightsail-Instance oder Ihren Blockspeicher-Festplatten-Snapshot nach Amazon EC2 exportieren oder einen Lightsail-Bucket erstellen oder aktualisieren, erstellt Amazon Lightsail die serviceverknüpfte Rolle erneut für Sie.

Wichtig

Sie müssen IAM-Berechtigungen konfigurieren, damit Amazon Lightsail die serviceverknüpfte Rolle erstellen kann. Führen Sie dazu die Schritte aus, die sich im folgenden Abschnitt Berechtigungen von serviceverknüpften Rollen befinden.

Bearbeiten einer serviceverknüpften Rolle für Amazon Lightsail

Amazon Lightsail erlaubt Ihnen nicht, die AWSServiceRoleForLightsail serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Amazon Lightsail

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch sicherstellen, dass sich keine Amazon Lightsail-Instance oder Festplatten-Snapshots im Status „Ausstehende Kopie“ befinden, bevor Sie die AWSServiceRoleForLightsail serviceverknüpfte Rolle löschen können. Weitere Informationen finden Sie unter Exportieren von Snapshots nach Amazon EC2.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API, um die AWS CLI serviceverknüpfte Rolle zu löschen. AWSServiceRoleForLightsail Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für mit Amazon Lightsail Service verknüpfte Rollen

Amazon Lightsail unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen zu den Regionen, in denen Lightsail verfügbar ist, finden Sie unter Amazon Lightsail-Regionen.