Berechtigungen von serviceverknüpften Rollen Erstellen einer serviceverknüpften Rolle (IAM)Bearbeiten der Beschreibung einer serviceverknüpften Rolle Löschen einer dienstverknüpften Rolle für MemoryDB

Verwenden von dienstverknüpften Rollen für MemoryDB

MemoryDB verwendet dienstgebundene Rollen AWS Identity and Access Management (IAM). Eine dienstgebundene Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit einem AWS Dienst verknüpft ist, z. B. MemoryDB. Serviceverknüpfte MemoryDB-Rollen sind von MemoryDB vordefiniert. Sie enthalten alle Berechtigungen, die der Dienst benötigt, um AWS -Dienste im Namen Ihrer Cluster aufzurufen.

Eine dienstverknüpfte Rolle erleichtert die Einrichtung von MemoryDB, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Die Rollen existieren bereits in Ihrem AWS Konto, sind jedoch mit MemoryDB-Anwendungsfällen verknüpft und verfügen über vordefinierte Berechtigungen. Nur MemoryDB kann diese Rollen übernehmen, und nur diese Rollen können die vordefinierte Berechtigungsrichtlinie verwenden. Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dadurch werden Ihre MemoryDB-Ressourcen geschützt, da Sie die für den Zugriff auf die Ressourcen erforderlichen Berechtigungen nicht versehentlich entfernen können.

Informationen zu anderen Services, die serviceverknüpften Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Inhalt

Dienstbezogene Rollenberechtigungen für MemoryDB

MemoryDB verwendet die dienstgebundene Rolle mit dem Namen AWSServiceRoleForMemoryDB— Diese Richtlinie ermöglicht es MemoryDB, AWS Ressourcen in Ihrem Namen zu verwalten, sofern dies für die Verwaltung Ihrer Cluster erforderlich ist.

Die Berechtigungsrichtlinie für AWSServiceRoleForMemoryDB dienstverknüpfte Rollen ermöglicht es MemoryDB, die folgenden Aktionen an den angegebenen Ressourcen durchzuführen:


{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateTags"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:CreateAction": "CreateNetworkInterface"
                    },
                    "ForAllValues:StringEquals": {
                        "aws:TagKeys": [
                            "AmazonMemoryDBManaged"
                        ]
                    }
                }
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateNetworkInterface"
                ],
                "Resource": [
                    "arn:aws:ec2:*:*:network-interface/*",
                    "arn:aws:ec2:*:*:subnet/*",
                    "arn:aws:ec2:*:*:security-group/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:ResourceTag/AmazonMemoryDBManaged": "true"
                    }
                }
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:security-group/*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeSecurityGroups",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/MemoryDB"
                    }
                }
            }
        ]
    }

Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: MemoryDB ServiceRolePolicy.

Um einer IAM-Entität zu ermöglichen, dienstverknüpfte Rollen zu erstellen AWSServiceRoleForMemoryDB

Die folgende Berechtigungsanweisung zu den Berechtigungen für diese IAM-Entität hinzufügen:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

Um einer IAM-Entität das Löschen von dienstbezogenen Rollen zu ermöglichen AWSServiceRoleForMemoryDB

Die folgende Berechtigungsanweisung zu den Berechtigungen für diese IAM-Entität hinzufügen:


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

Alternativ können Sie eine AWS verwaltete Richtlinie verwenden, um vollen Zugriff auf MemoryDB zu gewähren.

Erstellen einer serviceverknüpften Rolle (IAM)

Sie können eine serviceverknüpfte Rolle mithilfe der IAM-Konsole, der CLI oder API erstellen.

Erstellen einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Erstellen einer serviceverknüpften Rolle verwenden.

So erstellen Sie eine serviceverknüpfte Rolle (Konsole)

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im linken Navigationsbereich der IAM-Konsole Rollen aus. Klicken Sie auf Create New Role (Neue Rolle erstellen).
Wählen Sie unter Select type of trusted entity (Typ der vertrauenswürdigen Entität auswählen) die Option AWS -Service aus.
Wählen Sie unter Oder wählen Sie einen Dienst aus, um seine Anwendungsfälle anzuzeigen, die Option MemoryDB aus.
Wählen Sie Weiter: Berechtigungen aus.
Beachten Sie unter Richtlinienname, dass MemoryDBServiceRolePolicy für diese Rolle erforderlich ist. Wählen Sie Weiter: Tags aus.
Beachten Sie, dass Tags für serviceverknüpfte Rollen nicht unterstützt werden. Klicken Sie auf Next:Review (Weiter: Prüfen).
(Optional:) Bearbeiten Sie in Role description die Beschreibung für die neue serviceverknüpfte Rolle.
Prüfen Sie die Rolle und klicken Sie dann auf Create Role (Rolle erstellen).

Erstellen einer serviceverknüpften Rolle (IAM-CLI)

Sie können IAM-Operationen von verwenden, um eine dienstverknüpfte AWS Command Line Interface Rolle zu erstellen. Diese Rolle kann die Vertrauensrichtlinie, sowie die enthaltenen Richtlinien enthalten, die der Service für die Zuweisung der Rolle benötigt.

So erstellen Sie eine serviceverknüpfte Rolle (CLI)

Führen Sie die folgenden Operationen aus:


$ aws iam create-service-linked-role --aws-service-name memorydb.amazonaws.com

Erstellen einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API für das Erstellen einer serviceverknüpften Rolle verwenden. Diese Rolle kann die Vertrauensrichtlinie, sowie die enthaltenen Richtlinien enthalten, die der Service für die Zuweisung der Rolle benötigt.

So erstellen Sie eine serviceverknüpfte Rolle (API)

Verwenden Sie den CreateServiceLinkedRole-API-Aufruf. Geben Sie in der Anforderung einen Servicenamen im Format memorydb.amazonaws.com an.

Die Beschreibung einer serviceverknüpften Rolle für MemoryDB bearbeiten

MemoryDB erlaubt es Ihnen nicht, die dienstverknüpfte Rolle zu bearbeiten. AWSServiceRoleForMemoryDB Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten.

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So bearbeiten Sie die Beschreibung einer serviceverknüpften Rolle (Konsole)

Wählen Sie im linken Navigationsbereich der IAM-Konsole die Option Rollen aus.
Wählen Sie den Namen der zu ändernden Rolle.
Wählen Sie neben Role description ganz rechts Edit.
Geben Sie eine neue Beschreibung im Dialogfeld ein und klicken Sie auf Save (Speichern).

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-CLI)

Sie können IAM-Operationen von aus verwenden, AWS Command Line Interface um eine mit einem Dienst verknüpfte Rollenbeschreibung zu bearbeiten.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (CLI)

(Optional) Verwenden Sie den Vorgang for IAM, um die aktuelle Beschreibung AWS CLI für eine Rolle anzuzeigen. get-role
```
$ aws iam get-role --role-name AWSServiceRoleForMemoryDB
```
Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den CLI-Operationen zu beziehen. Wenn eine Rolle zum Beispiel folgenden ARN hat: arn:aws:iam::123456789012:role/myrole, verweisen Sie auf die Rolle als myrole.

Verwenden Sie den Vorgang AWS CLI for IAM, um die Beschreibung einer serviceverknüpften Rolle zu aktualisieren. update-role-description

Für Linux, macOS oder Unix:


$ aws iam update-role-description \
    --role-name AWSServiceRoleForMemoryDB \
    --description "new description"

Für Windows:


$ aws iam update-role-description ^
    --role-name AWSServiceRoleForMemoryDB ^
    --description "new description"

Bearbeiten der Beschreibung einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API für das Bearbeiten der Beschreibung einer serviceverknüpften Rolle verwenden.

So ändern Sie die Beschreibung einer serviceverknüpften Rolle (API)

(Optional) Um die aktuelle Beschreibung einer Rolle anzuzeigen, verwenden Sie die IAM-API-Operation GetRole.


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &AUTHPARAMS

Um die Beschreibung einer Rolle zu aktualisieren, verwenden Sie die IAM-API-Operation UpdateRoleDescription.


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &Description="New description"

Löschen einer dienstverknüpften Rolle für MemoryDB

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie löschen können.

MemoryDB löscht die dienstverknüpfte Rolle nicht für Sie.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie IAM verwenden können, um eine dienstverknüpfte Rolle zu löschen, stellen Sie zunächst sicher, dass der Rolle keine Ressourcen (Cluster) zugeordnet sind.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im linken Navigationsbereich der IAM-Konsole Rollen aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der AWSServiceRoleForMemoryDB Rolle aus.
Wählen Sie auf der Seite Summary für die ausgewählte Rolle die Registerkarte Access Advisor.
Überprüfen Sie auf der Registerkarte Access Advisor die jüngsten Aktivitäten für die serviceverknüpfte Rolle.

Um MemoryDB-Ressourcen zu löschen, die AWSServiceRoleForMemoryDB (Konsole) benötigen

Informationen zum Löschen eines Clusters finden Sie unter:

Löschen einer serviceverknüpften Rolle (IAM-Konsole)

Sie können die IAM-Konsole für das Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (Konsole)

Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.
Wählen Sie im linken Navigationsbereich der IAM-Konsole Rollen aus. Aktivieren Sie dann das Kontrollkästchen neben dem Rollennamen, den Sie löschen möchten, nicht den Namen oder die Zeile selbst.
Wählen Sie für Role actions oben auf der Seite Delete role aus.
Überprüfen Sie auf der Bestätigungsseite die Daten, auf die der Dienst zuletzt zugegriffen hat. Aus diesen Daten geht hervor, wann jede der ausgewählten Rollen zuletzt auf einen AWS Dienst zugegriffen hat. Auf diese Weise können Sie leichter bestätigen, ob die Rolle derzeit aktiv ist. Wenn Sie fortfahren möchten, wählen Sie Yes, Delete aus, um die serviceverknüpfte Rolle zur Löschung zu übermitteln.
Sehen Sie sich die Benachrichtigungen in der IAM-Konsole an, um den Fortschritt der Löschung der serviceverknüpften Rolle zu überwachen. Da die Löschung der serviceverknüpften IAM-Rolle asynchron erfolgt, kann die Löschung nach dem Übermitteln der Rolle für die Löschung erfolgreich sein oder fehlschlagen. Wenn der Vorgang fehlschlägt, können Sie in den Benachrichtigungen View details oder View Resources auswählen, um zu erfahren, warum die Löschung fehlgeschlagen ist.

Löschen einer serviceverknüpften Rolle (IAM-CLI)

Sie können IAM-Operationen von verwenden, AWS Command Line Interface um eine dienstverknüpfte Rolle zu löschen.

So löschen Sie eine serviceverknüpfte Rolle (CLI)

Wenn Sie den Namen der serviceverknüpften Rolle, die Sie löschen möchten, nicht kennen, geben Sie den folgenden Befehl ein. Dieser Befehl listet die Rollen und ihre Amazon-Ressourcennamen (ARN) in Ihrem Konto auf.
```
$ aws iam get-role --role-name role-name
```
Verwenden Sie den Rollennamen, nicht den ARN, um sich auf Rollen mit den CLI-Operationen zu beziehen. Wenn eine Rolle zum Beispiel den ARN arn:aws:iam::123456789012:role/myrole hat, verweisen Sie auf die Rolle als myrole.
Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die deletion-task-id aus der Antwort, um den Status der Löschaufgabe zu überprüfen. Geben Sie Folgendes ein, um eine Anforderung zum Löschen einer serviceverknüpften Rolle abzusenden.
```
$ aws iam delete-service-linked-role --role-name role-name
```
Geben Sie Folgendes ein, um den Status der Löschaufgabe zu überprüfen.
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Löschen einer serviceverknüpften Rolle (IAM-API)

Sie können die IAM-API zum Löschen einer serviceverknüpften Rolle verwenden.

So löschen Sie eine serviceverknüpfte Rolle (API)

Um eine Löschanfrage für eine serviceverknüpfte Rolle zu übermitteln, rufen Sie DeleteServiceLinkedRole auf. Geben Sie in der Anforderung einen Rollennamen an.

Da eine serviceverknüpfte Rolle nicht gelöscht werden kann, wenn sie verwendet wird oder ihr Ressourcen zugeordnet sind, müssen Sie eine Löschungsanforderung übermitteln. Diese Anforderung kann verweigert werden, wenn diese Bedingungen nicht erfüllt sind. Sie benötigen die DeletionTaskId aus der Antwort, um den Status der Löschaufgabe zu überprüfen.
Um den Status der Löschung zu überprüfen, rufen Sie GetServiceLinkedRoleDeletionStatus auf. Geben Sie in der Anforderung die DeletionTaskId an.

Der Status der Löschaufgabe kann NOT_STARTED, IN_PROGRESS, SUCCEEDED oder FAILED lauten. Wenn die Löschung fehlschlägt, gibt der Aufruf den Grund zurück, sodass Sie das Problem beheben können.

Warnung JavaScript ist in Ihrem Browser nicht verfügbar oder deaktiviert.

Zur Nutzung der AWS-Dokumentation muss JavaScript aktiviert sein. Weitere Informationen finden auf den Hilfe-Seiten Ihres Browsers.

Dokumentkonventionen

Berechtigungen auf Ressourcenebene

AWS verwaltete Richtlinien