Uso de roles vinculados a servicios para Amazon EFS

Amazon Elastic File System usa un rol vinculado a un servicioAWS Identity and Access Management (IAM). El rol vinculado a un servicio de Amazon EFS es un tipo único de rol de IAM que está vinculado directamente a Amazon EFS. El rol predefinido vinculado a un servicio de Amazon EFS incluye permisos que el servicio requiere para llamar a otrosServicios de AWS en su nombre.

Un rol vinculado a un servicio simplifica la configuración de Amazon EFS porque ya no tendrá que agregar los permisos necesarios de forma manual. Amazon EFS define los permisos de su rol vinculado a un servicio y solo Amazon EFS puede asumir su rol. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede adjuntar a ninguna otra entidad de IAM.

Solo puede eliminar el rol vinculado a un servicio de Amazon EFS después de eliminar los sistemas de archivos de Amazon EFS. De esta forma, se protegen los recursos de Amazon EFS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

El rol vinculado a servicios permite que todas las llamadas a la API puedan verse a través de AWS CloudTrail. Esta ayuda a monitorear y auditar los requisitos, ya que se puede hacer un seguimiento de todas las acciones que Amazon EFS lleva a cabo en su nombre. Para obtener más información, consulte Entradas de registro para roles vinculados al servicio EFS.

Permisos de roles vinculados a servicios para Amazon EFS

Amazon EFS usa la función vinculada al servicio denominadaAWSServiceRoleForAmazonElasticFileSystem para permitir que Amazon EFS llame y administreAWS recursos en nombre de sus sistemas de archivos de EFS.

El rol vinculado a servicios AWSServiceRoleForAmazonElasticFileSystem confía en los siguientes servicios para asumir el rol:

• elasticfilesystem.amazonaws.com

La política de permisos del rol permite que Amazon EFS realice las acciones incluidas en el JSON de definición de la política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

nota

Debe configurar manualmente los permisos de IAM paraAWS KMS crear un nuevo sistema de archivos de Amazon EFS que esté cifrado en reposo. Para obtener más información, consulte Cifrado de datos en reposo.

Creación de un rol vinculado a un servicio para Amazon EFS

Debe configurar permisos para permitir que una entidad de IAM (como un usuario, grupo o rol) cree un rol vinculado a un servicio. Para ello, agregue eliam:CreateServiceLinkedRole permiso a una entidad de IAM, como se muestra en el siguiente ejemplo.

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": [
                "elasticfilesystem.amazonaws.com"
            ]
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

No necesita crear manualmente un rol vinculado a servicios. Al crear los objetivos de montaje o una configuración de replicación para elAWS Management Console sistema de archivos de EFS en laAWS API de, Amazon EFS crea automáticamente el rol vinculado a un servicio.AWS CLI

Si elimina este rol vinculado al servicio y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear los objetivos de montaje o una configuración de replicación para el sistema de archivos de EFS, Amazon EFS crea de nuevo el rol vinculado a un servicio por el usuario

Edición de un rol vinculado a un servicio para Amazon EFS

Amazon EFS no permite editar el rolAWSServiceRoleForAmazonElasticFileSystem vinculado a un servicio. Después de crear un rol vinculado a servicios, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia al mismo. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM..

Eliminación de un rol vinculado a un servicio para Amazon EFS

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio Amazon EFS utiliza el rol cuando intenta eliminar los recursos, la eliminación podría producir un error. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de Amazon EFS utilizados porAWSServiceRoleForAmazonElasticFileSystem

Complete los siguientes pasos para eliminar los recursos de Amazon EFS utilizados porAWSServiceRoleForAmazonElasticFileSystem. Para obtener información detallada sobre el procedimiento, consulteLimpie los recursos y proteja su AWS cuenta.

1. En la instancia de Amazon EC2, desmonte el sistema de archivos de Amazon EFS.

2. Elimine el sistema de archivos de Amazon EFS.

3. Elimine el grupo de seguridad personalizado para el sistema de archivos.

   aviso

   Si utilizó el grupo de seguridad predeterminado para la nube privada virtual (VPC), no elimine ese grupo de seguridad.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Puede usar la consola de IAM, la AWS CLI o la API de AWS para eliminar el rol vinculado a un servicio AWSServiceRoleForAmazonElasticFileSystem. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.