Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôles liés à un service pour AWS CloudHSM
La IAM politique que vous avez créée précédemment Politiques gérées par le client pour AWS CloudHSM inclut l'iam:CreateServiceLinkedRoleaction. AWS CloudHSM définit un rôle lié à un service nommé. AWSServiceRoleForCloudHSM Le rôle est prédéfini par AWS CloudHSM et inclut des autorisations qui AWS CloudHSM nécessitent d'appeler d'autres AWS services en votre nom. Le rôle permet de configurer votre service plus facilement, car vous n'avez pas besoin d'ajouter manuellement les autorisations de stratégie de rôle et de stratégie d'approbation.
La politique des rôles permet AWS CloudHSM de créer des groupes de CloudWatch journaux et des flux de journaux Amazon Logs et de rédiger des événements de journal en votre nom. Vous pouvez le consulter ci-dessous et dans la IAM console.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
La politique de confiance associée au AWSServiceRoleForCloudHSMrôle permet AWS CloudHSM d'assumer le rôle.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Création d'un rôle lié à un service (automatique)
AWS CloudHSM crée le AWSServiceRoleForCloudHSMrôle lorsque vous créez un cluster si vous incluez l'iam:CreateServiceLinkedRoleaction dans les autorisations que vous avez définies lors de la création du groupe d' AWS CloudHSM administrateurs. Consultez Politiques gérées par le client pour AWS CloudHSM.
Si vous possédez déjà un ou plusieurs clusters et que vous souhaitez simplement ajouter le AWSServiceRoleForCloudHSMrôle, vous pouvez utiliser la console, la commande create-cluster ou l'CreateClusterAPIopération de création d'un cluster. Utilisez ensuite la console, la commande delete-cluster ou l'DeleteClusterAPIopération pour le supprimer. La création du nouveau cluster entraîne la création du rôle lié à un service et l'applique à tous les clusters de votre compte. Vous pouvez également choisir de créer le rôle manuellement. Consultez la section suivante pour plus d’informations.
Note
Il n'est pas nécessaire de suivre toutes les étapes décrites dans la section Commencer avec AWS CloudHSM pour créer un cluster si vous le créez uniquement pour ajouter le AWSServiceRoleForCloudHSMrôle.
Création d'un rôle lié à un service (manuel)
Vous pouvez utiliser la IAM AWS CLI console ou API créer le AWSServiceRoleForCloudHSMrôle. Pour plus d'informations, consultez la section Création d'un rôle lié à un service dans le guide de l'IAMutilisateur.
Modifier le rôle lié à un service
AWS CloudHSM ne vous permet pas de modifier le AWSServiceRoleForCloudHSMrôle. Par exemple, une fois le rôle créé, vous ne pouvez pas modifier son nom car différentes entités peuvent référencer le rôle par nom. De la même façon, vous ne pouvez pas modifier la stratégie de rôle. Vous pouvez toutefois l'utiliser IAM pour modifier la description du rôle. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le guide de l'IAMutilisateur.
Suppression du rôle lié à un service
Vous ne pouvez pas supprimer un rôle lié à un service tant qu'il existe encore un cluster auquel il a été appliqué. Pour supprimer le rôle, vous devez d'abord supprimer chacun HSM des rôles de votre cluster, puis supprimer le cluster. Vous devez supprimer tous les clusters de votre compte. Vous pouvez ensuite utiliser la IAM AWS CLI console ou API supprimer le rôle. Pour plus d'informations sur la suppression d'un cluster, consultez Supprimer un AWS CloudHSM cluster. Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le guide de l'IAMutilisateur.
