Uso de roles vinculados a servicios para Amazon EFS

Amazon Elastic File System utiliza un rol vinculado a un servicio AWS Identity and Access Management (IAM). El rol vinculado a un servicio de Amazon EFS es un tipo único de rol de IAM que está vinculado directamente a Amazon EFS. La función vinculada al servicio de Amazon EFS predefinida incluye los permisos que el servicio necesita para llamar a otros Servicios de AWS en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon EFS porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon EFS define los permisos de sus roles vinculados a servicios y solo Amazon EFS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios de Amazon EFS después de eliminar sus sistemas de archivos de Amazon EFS. De esta forma, se protegen los recursos de Amazon EFS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

La función vinculada al servicio permite ver todas las llamadas a la API. AWS CloudTrail Esta ayuda a monitorizar y auditar los requisitos, ya que se puede hacer un seguimiento de todas las acciones que Amazon EFS realiza en su nombre. Para obtener más información, consulte Entradas de registro para roles vinculados al servicio EFS.

Permisos de roles vinculados a un servicio para Amazon EFS.

Amazon EFS utiliza el rol vinculado al servicio denominado AWSServiceRoleForAmazonElasticFileSystem para permitir que Amazon EFS llame y gestione AWS los recursos en nombre de sus sistemas de archivos de EFS.

El rol AWSService RoleForAmazonElasticFileSystem vinculado al servicio confía en los siguientes servicios para asumir el rol:

• elasticfilesystem.amazonaws.com

La política de permisos del rol permite que Amazon EFS realice las acciones incluidas en el JSON de definición de política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "*"
        }
    ]
}

nota

Debe configurar manualmente los permisos de IAM para AWS KMS crear un nuevo sistema de archivos Amazon EFS que esté cifrado en reposo. Para obtener más información, consulte Cifrado de datos en reposo.

Creación de un rol vinculado a un servicio para Amazon EFS

Debe configurar los permisos para permitir a una entidad de IAM (como un usuario, un grupo o un rol) crear o eliminar un rol vinculado a servicio. Para ello, añada el permiso iam:CreateServiceLinkedRole a una entidad de IAM como se muestra en el siguiente ejemplo.

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": [
                "elasticfilesystem.amazonaws.com"
            ]
        }
    }
}

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

No necesita crear manualmente un rol vinculado a servicios. Al crear destinos de montaje o una configuración de replicación para su sistema de archivos EFS en la AWS Management Console AWS CLI, la o la AWS API, Amazon EFS crea automáticamente la función vinculada al servicio.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando crea un destino de montaje o una configuración de replicación para el sistema de archivos de EFS, Amazon EFS crea el rol vinculado a servicios en su nombre.

Edición de un rol vinculado a un servicio para Amazon EFS

Amazon EFS no le permite editar el rol vinculado a un servicio de AWSServiceRoleForAmazonElasticFileSystem. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon EFS

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente.

nota

Si el servicio de Amazon EFS utiliza el rol al intentar eliminar los recursos, se podría producir un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar los recursos de Amazon EFS utilizados por el AWSService RoleForAmazonElasticFileSystem

Complete los siguientes pasos para eliminar los recursos de Amazon EFS utilizados por AWSServiceRoleForAmazonElasticFileSystem. Para obtener el procedimiento detallado, consulte Limpie los recursos y proteja su cuenta de AWS

1. En su EC2 instancia de Amazon, desmonte el sistema de archivos Amazon EFS.

2. Elimine el sistema de archivos de Amazon EFS.

3. Elimine el grupo de seguridad personalizado para el sistema de archivos.

   aviso

   Si utilizó el grupo de seguridad predeterminado para la nube privada virtual (VPC), no elimine ese grupo de seguridad.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar el rol vinculado al AWSService RoleForAmazonElasticFileSystem servicio. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.