Verwenden Sie serviceverknüpfte Rollen für verifizierten Zugriff - AWS Verifizierter Zugriff
Berechtigungen von serviceverknüpften RollenErstellen einer serviceverknüpften RolleBearbeiten einer serviceverknüpften RolleLöschen Sie eine serviceverknüpfte RolleUnterstützte Regionen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden Sie serviceverknüpfte Rollen für verifizierten Zugriff

AWS Verified Access verwendet eine mit dem Dienst verknüpfte IAM-Rolle. Dabei handelt es sich um eine Art von IAM-Rolle, die direkt mit einem Dienst verknüpft ist. AWS Die dienstbezogenen Rollen für Verified Access werden von Verified Access definiert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere AWS-Services in Ihrem Namen anzurufen.

Eine dienstbezogene Rolle erleichtert die Einrichtung von Verified Access, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Verified Access definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Verified Access seine Rollen übernehmen. Zu den definierten Berechtigungen gehören die Vertrauensrichtlinie und die Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keiner anderen IAM-Entität zugeordnet werden.

Mit dem Dienst verknüpfte Rollenberechtigungen für verifizierten Zugriff

Verified Access verwendet die dienstverknüpfte Rolle AWSServiceRoleForVPCVerifiedAccess, um Ressourcen in Ihrem Konto bereitzustellen, die für die Nutzung des Dienstes erforderlich sind.

Die mit dem Dienst verknüpfte AWSServiceRoleForVPCVerifiedAccess-Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • verified-access.amazonaws.com

Die genannte Rollenberechtigungsrichtlinie ermöglicht es Verified Access AWSVPCVerifiedAccessServiceRolePolicy, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion ec2:CreateNetworkInterface für alle Subnetze und Sicherheitsgruppen sowie für alle Netzwerkschnittstellen mit dem Tag VerifiedAccessManaged=true

  • Aktion ec2:CreateTags für alle Netzwerkschnittstellen zum Zeitpunkt der Erstellung

  • Aktion ec2:DeleteNetworkInterface auf allen Netzwerkschnittstellen mit dem Tag VerifiedAccessManaged=true

  • Aktion ec2:ModifyNetworkInterfaceAttribute für alle Sicherheitsgruppen und alle Netzwerkschnittstellen mit dem Tag VerifiedAccessManaged=true

Sie können die Berechtigungen für diese Richtlinie auch im Referenzhandbuch für AWS verwaltete Richtlinien einsehen; siehe AWSVPCVerifiedAccessServiceRolePolicy.

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Erstellen Sie eine dienstbezogene Rolle für Verified Access

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie die AWS Management Console, oder die AWS API aufrufen CreateVerifiedAccessEndpoint AWS CLI, erstellt Verified Access die dienstbezogene Rolle für Sie.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie CreateVerifiedAccessEndpointerneut aufrufen, erstellt Verified Access die serviceverknüpfte Rolle erneut für Sie.

Bearbeiten Sie eine dienstverknüpfte Rolle für Verified Access

Mit Verified Access können Sie die serviceverknüpfte AWSServiceRoleForVPCVerifiedAccess-Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Bearbeiten einer Beschreibung einer dienstbezogenen Rolle.

Löschen Sie eine dienstverknüpfte Rolle für Verified Access

Sie müssen die AWSServiceRoleForVPCVerifiedAccess-Rolle nicht manuell löschen. Wenn Sie die AWS Management Console, oder die AWS API aufrufen DeleteVerifiedAccessEndpoint AWS CLI, bereinigt Verified Access die Ressourcen und löscht die dienstbezogene Rolle für Sie.

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Access-Rolle zu löschen. AWSService RoleFor VPCVerified Weitere Informationen finden Sie im IAM-Benutzerhandbuch unter Löschen einer serviceverknüpften Rolle.

Unterstützte Regionen für dienstverknüpfte Rollen mit verifiziertem Zugriff

Verified Access unterstützt die Verwendung von dienstbezogenen Rollen überall dort, AWS-Regionen wo der Dienst verfügbar ist. Weitere Informationen finden Sie unter AWS Regionen und Endpunkte.