Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôles liés à un service pour AWS CloudHSM
La politique IAM que vous avez créée précédemment Politiques gérées par le client pour AWS CloudHSM inclut l'iam:CreateServiceLinkedRoleaction. AWS CloudHSM définit un rôle lié à un service nommé. AWSServiceRoleForCloudHSM Le rôle est prédéfini par AWS CloudHSM et inclut des autorisations qui AWS CloudHSM nécessitent d'appeler d'autres AWS services en votre nom. Le rôle permet de configurer votre service plus facilement, car vous n'avez pas besoin d'ajouter manuellement les autorisations de stratégie de rôle et de stratégie d'approbation.
La politique des rôles permet AWS CloudHSM de créer des groupes de CloudWatch journaux et des flux de journaux Amazon Logs et de rédiger des événements de journal en votre nom. Vous pouvez le voir ci-dessous et dans la console IAM.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
La politique de confiance associée au AWSServiceRoleForCloudHSMrôle permet AWS CloudHSM d'assumer le rôle.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Création d'un rôle lié à un service (automatique)
AWS CloudHSM crée le AWSServiceRoleForCloudHSMrôle lorsque vous créez un cluster si vous incluez l'iam:CreateServiceLinkedRoleaction dans les autorisations que vous avez définies lors de la création du groupe d' AWS CloudHSM administrateurs. veuillez consulter Politiques gérées par le client pour AWS CloudHSM.
Si vous possédez déjà un ou plusieurs clusters et que vous souhaitez simplement ajouter le AWSServiceRoleForCloudHSMrôle, vous pouvez utiliser la console, la commande create-cluster ou l'opération CreateClusterAPI pour créer un cluster. Utilisez ensuite la console, la commande delete-cluster ou l'opération DeleteClusterAPI pour le supprimer. La création du nouveau cluster entraîne la création du rôle lié à un service et l'applique à tous les clusters de votre compte. Vous pouvez également choisir de créer le rôle manuellement. Consultez la section suivante pour plus d’informations.
Note
Il n'est pas nécessaire de suivre toutes les étapes décrites dans la section Démarrer avec AWS CloudHSM pour créer un cluster si vous le créez uniquement pour ajouter le AWSServiceRoleForCloudHSMrôle.
Création d'un rôle lié à un service (manuel)
Vous pouvez utiliser la console IAM ou AWS CLI l'API pour créer le AWSServiceRoleForCloudHSMrôle. Pour plus d'informations, consultez Création d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Modifier le rôle lié à un service
AWS CloudHSM ne vous permet pas de modifier le AWSServiceRoleForCloudHSMrôle. Par exemple, une fois le rôle créé, vous ne pouvez pas modifier son nom car différentes entités peuvent référencer le rôle par nom. De la même façon, vous ne pouvez pas modifier la stratégie de rôle. Néanmoins, vous pouvez utiliser IAM pour modifier la description du rôle. Pour plus d'informations, consultez Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Suppression du rôle lié à un service
Vous ne pouvez pas supprimer un rôle lié à un service tant qu'il existe encore un cluster auquel il a été appliqué. Pour supprimer le rôle, vous devez d'abord supprimer tous les HSM de votre cluster, puis supprimer le cluster. Vous devez supprimer tous les clusters de votre compte. Vous pouvez ensuite utiliser la console IAM ou AWS CLI l'API pour supprimer le rôle. Pour plus d'informations sur la suppression d'un cluster, consultez Supprimer un AWS CloudHSM cluster. Pour plus d’informations, veuillez consulter Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
