Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Rôles liés à un service pour les exportations de données
Data Exports utilise des AWS rôles liés au service Identity and Access Management (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié aux exportations de données. Les rôles liés au service sont prédéfinis par Data Exports et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.
Un rôle lié à un service facilite la configuration des exportations de données, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Data Exports définit les autorisations associées à son rôle lié au service, et sauf indication contraire, seules les exportations de données peuvent assumer ce rôle. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisation. De plus, cette politique d'autorisation ne peut pas être attachée à une autre entité IAM.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, consultez AWS Services qui fonctionnent avec IAM et recherchez les services avec un Oui dans la colonne Rôle lié à un service. Choisissez un Yes (oui) ayant un lien permettant de consulter les détails du rôle pour ce service.
Autorisations de rôle liées au service pour les exportations de données
Data Exports utilise le rôle lié au service nomméAWSServiceRoleForBCMDataExports, qui permet d'accéder aux données de AWS
service pour exporter les données vers un emplacement cible, tel qu'Amazon S3, pour le compte du client. Ce rôle lié à un service est utilisé pour les actions en lecture seule afin de collecter le moins de données de AWS service nécessaires. Le rôle lié au service est utilisé au fil du temps pour garantir la sécurité et pour continuer à actualiser les données d'exportation dans l'emplacement cible.
Le rôle lié à un service AWSServiceRoleForBCMDataExports fait confiance au service bcm-data-exports.amazonaws.com pour endosser le rôle.
La politique d'autorisation des rôles permet aux exportations de données d'effectuer les actions suivantes sur les ressources spécifiées : AWSBCMDataExportsServiceRolePolicy
-
cost-optimization-hub:ListEnrollmentStatuses
-
cost-optimization-hub:ListRecommendation
Pour plus d'informations, voir Autoriser les exportations de données à accéder à d'autres AWS services.
Pour consulter les détails complets des autorisations du rôle lié au serviceAWSBCMDataExportsServiceRolePolicy, consultez le Guide AWSBCMDataExportsServiceRolePolicyde référence des politiques AWS gérées.
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'utilisateur IAM.
Création du rôle lié au service Data Exports
Il n'est pas nécessaire de créer manuellement le rôle lié au service Data Exports. Sur la page de console Data Exports, lorsque vous tentez de créer une exportation d'une table nécessitant le rôle lié à un service, le service crée automatiquement le rôle pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte.
Modification du rôle lié au service Data Exports
Vous ne pouvez pas modifier le nom ou les autorisations du rôle AWSServiceRoleForBCMDataExports lié au service car diverses entités peuvent y faire référence. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.
Pour autoriser une entité IAM à modifier la description du rôle lié à un AWSServiceRoleForBCMDataExports service
Ajoutez l’instruction suivante à la stratégie d’autorisation de l’entité IAM qui doit modifier la description d’un rôle lié à un service.
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/bcm-data-exports.amazonaws.com/AWSServiceRoleForBCMDataExports", "Condition": {"StringLike": {"iam:AWSServiceName": "bcm-data-exports.amazonaws.com"}} }
Suppression du rôle lié au service Data Exports
Si vous n'avez plus besoin d'utiliser les exportations de données, nous vous recommandons de supprimer le rôle AWSServiceRoleForBCMDataExports lié à un service. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Toutefois, avant de pouvoir supprimer manuellement le rôle lié au service, vous devez d'abord supprimer toutes les exportations de données qui nécessitent le rôle lié au service.
Pour supprimer une exportation
Pour plus d'informations sur la suppression d'une exportation, consultez la section Modification et suppression d'exportations.
Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM
Utilisez la console IAM, l'interface de ligne de AWS commande (AWS CLI) ou l' AWS API pour supprimer le rôle lié au AWSServiceRoleForBCMDataExports service. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Régions prises en charge pour les rôles liés au service d'exportation de données
Data Exports prend en charge l'utilisation de rôles liés à des services dans toutes les AWS régions où les exportations de données sont disponibles. Pour plus d'informations, consultez la section Points AWS de terminaison de service.
