Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para Amazon FSx
El servidor de archivos de Amazon FSx para Windows utiliza AWS Identity and Access Management (IAM) funciones vinculadas a servicios. Un rol vinculado a un servicio es un tipo de IAM rol único que está vinculado directamente a Amazon. FSx Amazon predefine las funciones vinculadas al servicio FSx e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre.
Un rol vinculado a un servicio facilita la configuración de Amazon FSx porque no tienes que añadir manualmente los permisos necesarios. Amazon FSx define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Amazon FSx puede asumir sus funciones. Los permisos definidos incluyen la política de confianza y la política de permisos, y esa política de permisos no se puede adjuntar a ninguna otra IAM entidad.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. Esto protege tus FSx recursos de Amazon porque no puedes eliminar inadvertidamente el permiso de acceso a los recursos.
Para obtener información sobre otros servicios que admiten funciones vinculadas a servicios, consulte AWS Servicios con los que funcionan IAM y busque los servicios que tienen la palabra Sí en la columna Función vinculada a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.
Permisos de roles vinculados a servicios para Amazon FSx
Amazon FSx usa el rol vinculado al servicio denominado AWSServiceRoleForAmazonFSx — que realiza determinadas acciones en tu cuenta, como crear interfaces de red elásticas para tus sistemas de archivos en tu. VPC
La política de permisos de roles permite FSx a Amazon realizar las siguientes acciones en todos los AWS recursos aplicables:
No puedes adjuntar A mazonFSx ServiceRolePolicy a tus IAM entidades. Esta política está asociada a un rol vinculado al servicio que permite administrar FSx los AWS recursos en su nombre. Para obtener más información, consulte Uso de roles vinculados a servicios para Amazon FSx.
Para ver las actualizaciones de esta política, consulte AmazonF SxServiceRolePolicy
Esta política otorga permisos administrativos que FSx permiten administrar AWS los recursos en nombre del usuario.
Detalles de los permisos
Los permisos del mazonFSx ServiceRolePolicy rol A se definen en la política mazonFSx ServiceRolePolicy AWS administrada A. A mazonFSx ServiceRolePolicy tiene los siguientes permisos:
nota
A mazonFSx ServiceRolePolicy lo utilizan todos los tipos de sistemas de FSx archivos de Amazon; es posible que algunos de los permisos enumerados no se apliquen a FSx Windows.
-
ds— Permite FSx ver, autorizar y desautorizar las aplicaciones de su AWS Directory Service directorio. -
ec2— Permite FSx hacer lo siguiente:Vea, cree y desasocie las interfaces de red asociadas a un sistema de FSx archivos de Amazon.
Vea una o más direcciones IP elásticas asociadas a un sistema de FSx archivos de Amazon.
Vea AmazonVPCs, los grupos de seguridad y las subredes asociados a un sistema de FSx archivos de Amazon.
Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con unVPC.
Cree un permiso para que un usuario AWS autorizado realice determinadas operaciones en una interfaz de red.
-
cloudwatch— Permite FSx publicar puntos de datos métricos CloudWatch en el espacio de FSx nombres AWS/. -
route53— Permite asociar un Amazon FSx VPC a una zona alojada privada. -
logs— Permite FSx describir y escribir en CloudWatch los registros los flujos de registro. Esto permite a los usuarios enviar los registros de auditoría de acceso a los archivos de un sistema FSx de archivos del servidor de archivos de Windows a un flujo de CloudWatch registros. -
firehose— Permite FSx describir y escribir en los flujos de entrega de Amazon Data Firehose. Esto permite a los usuarios publicar los registros de auditoría de acceso a los archivos de un sistema de archivos FSx para Windows File Server en una transmisión de entrega de Amazon Data Firehose.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
Todas las actualizaciones de esta política están detalladas en Amazon FSx actualiza las políticas gestionadas AWS.
Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. Para obtener más información, consulte Permisos de roles vinculados a un servicio en la Guía del usuario. IAM
Crear un rol vinculado a un servicio para Amazon FSx
No necesita crear manualmente un rol vinculado a servicios. Cuando creas un sistema de archivos en AWS Management Console, el o el IAM CLI IAMAPI, Amazon FSx crea el rol vinculado al servicio por ti.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulta Apareció un nuevo rol en mi IAM cuenta.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando creas un sistema de archivos, Amazon vuelve a FSx crear el rol vinculado al servicio para ti.
Edición de un rol vinculado a un servicio para Amazon FSx
Amazon FSx no te permite editar el rol vinculado al servicio. Después de crear un rol vinculado a un servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al mismo. Sin embargo, puede editar la descripción del rol utilizando. IAM Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.
Eliminar un rol vinculado a un servicio para Amazon FSx
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.
nota
Si el FSx servicio de Amazon utiliza el rol cuando intentas eliminar los recursos, es posible que la eliminación no se realice correctamente. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar manualmente el rol vinculado al servicio mediante IAM
Utilice la IAM consola IAMCLI, la o la IAM API para eliminar la función vinculada al servicio. Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM
Regiones compatibles con los roles vinculados a FSx los servicios de Amazon
Amazon FSx admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio esté disponible. Para obtener más información, consulte Regiones y puntos de conexión de AWS.
