Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Funciones vinculadas al servicio para AWS CloudHSM
La política de IAM que creó anteriormente Políticas gestionadas por el cliente para AWS CloudHSM incluye la acción. iam:CreateServiceLinkedRole AWS CloudHSM define un rol vinculado a un servicio denominado. AWSServiceRoleForCloudHSM El rol está predefinido AWS CloudHSM e incluye los permisos necesarios para AWS CloudHSM llamar a otros AWS servicios en su nombre. El rol facilita la configuración del servicio, ya que no es necesario agregar manualmente los permisos de las políticas de rol y de confianza.
La política de roles permite AWS CloudHSM crear grupos de CloudWatch registros y flujos de registros de Amazon Logs y escribir eventos de registro en su nombre. Puede verlo a continuación y en la consola de IAM.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
La política de confianza del AWSServiceRoleForCloudHSMrol AWS CloudHSM permite asumirlo.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Creación de un rol vinculado a un servicio (automático)
AWS CloudHSM crea el AWSServiceRoleForCloudHSMrol al crear un clúster si incluye la iam:CreateServiceLinkedRole acción en los permisos que definió al crear el grupo de AWS CloudHSM administradores. Consulte Políticas gestionadas por el cliente para AWS CloudHSM.
Si ya tienes uno o más clústeres y solo quieres añadir el AWSServiceRoleForCloudHSMrol, puedes usar la consola, el comando create-cluster o la operación de CreateClusterAPI para crear un clúster. A continuación, usa la consola, el comando delete-cluster o la operación de DeleteClusterAPI para eliminarlo. Al crear el nuevo clúster se crea la función vinculada al servicio y se aplica a todos los clústeres de la cuenta. También puede crear el rol manualmente. Consulte la siguiente sección para obtener más información.
nota
No necesita realizar todos los pasos descritos en la sección Empezar con AWS CloudHSM para crear un clúster si solo lo está creando para añadir el AWSServiceRoleForCloudHSMrol.
Creación de un rol vinculado a un servicio (manual)
Puede usar la consola de IAM o AWS CLI la API para crear el AWSServiceRoleForCloudHSMrol. Para obtener más información, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.
Edición del rol vinculado al servicio
AWS CloudHSM no permite editar el AWSServiceRoleForCloudHSMrol. Después de que se cree el rol, por ejemplo, no podrá cambiar su nombre porque varias entidades pueden hacer referencia al rol por su nombre. Además, no puede cambiar la política de rol. Sin embargo, puede usar IAM para editar la descripción del rol. Para obtener más información, consulte Editar un rol vinculado a un servicio en la Guía del usuario de IAM.
Eliminación del rol vinculado a un servicio
No puede eliminar una función vinculada a un servicio si todavía existe un clúster al que se haya aplicado. Para eliminar el rol, primero debe eliminar cada HSM de su clúster y, a continuación, eliminar el clúster. Se debe eliminar cada clúster de su cuenta. A continuación, puede utilizar la consola de IAM o la API para eliminar el rol. AWS CLI Para obtener más información acerca de la eliminación de un clúster, consulte Eliminar un AWS CloudHSM clúster. Para más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.
