Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des rôles liés à un service pour Amazon EFS
Amazon Elastic File System utilise un rôle lié à un service AWS Identity and Access Management (IAM). Un rôle lié à un service Amazon EFS est un type unique de rôle IAM lié directement à Amazon EFS. Le rôle prédéfini lié au service Amazon EFS inclut les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom.
Un rôle lié à un service simplifie la configuration d’Amazon EFS, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. Amazon EFS définit les autorisations de ses rôles liés à un service et seul Amazon EFS peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.
Vous pouvez supprimer le rôle lié à un service Amazon EFS uniquement après avoir supprimé vos systèmes de fichiers Amazon EFS. Vos ressources Amazon EFS sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.
Le rôle lié à un service permet à tous les appels d'API d'être visibles. AWS CloudTrail Cela facilite le suivi et la vérification des exigences, car vous pouvez suivre toutes les actions exécutées par Amazon EFS en votre nom. Pour de plus amples informations, veuillez consulter Entrées de journal pour les rôles liés à un service EFS.
Autorisations du rôle lié à un service pour Amazon EFS.
Amazon EFS utilise le rôle lié au service nommé AWSServiceRoleForAmazonElasticFileSystem pour permettre à Amazon EFS d'appeler et de gérer AWS des ressources pour le compte de vos systèmes de fichiers EFS.
Le rôle AWSService RoleForAmazonElasticFileSystem lié à un service fait confiance aux services suivants pour assumer le rôle :
-
elasticfilesystem.amazonaws.com
La stratégie d’autorisations liée au rôle permet à Amazon EFS de réaliser les actions incluses dans la définition de la stratégie JSON :
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup-storage:MountCapsule", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaceAttribute", "ec2:ModifyNetworkInterfaceAttribute", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "backup:CreateBackupVault", "backup:PutBackupVaultAccessPolicy" ], "Resource": [ "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault" ] }, { "Effect": "Allow", "Action": [ "backup:CreateBackupPlan", "backup:CreateBackupSelection" ], "Resource": [ "arn:aws:backup:*:*:backup-plan:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "backup.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup" ], "Condition": { "StringLike": { "iam:PassedToService": "backup.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration", "elasticfilesystem:ReplicationRead", "elasticfilesystem:ReplicationWrite" ], "Resource": "*" } ] }
Note
Vous devez configurer manuellement les autorisations IAM AWS KMS lorsque vous créez un nouveau système de fichiers Amazon EFS chiffré au repos. Pour en savoir plus, consultez Chiffrement de données au repos.
Création d’un rôle lié à un service pour Amazon EFS
Vous devez configurer les autorisations pour permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer un rôle lié à un service pour role. Pour ce faire, ajoutez l’autorisation iam:CreateServiceLinkedRole à une entité IAM, comme illustré dans l’exemple suivant.
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "elasticfilesystem.amazonaws.com" ] } } }
Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.
Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS dans l' AWS Management Console AWS CLI AWS API, Amazon EFS crée le rôle lié au service pour vous.
Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Quand vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS, Amazon EFS crée à nouveau le rôle lié au service pour vous.
Modification d’un rôle lié à un service pour Amazon EFS
Amazon EFS ne vous autorise pas à modifier le rôle lié à un service AWSServiceRoleForAmazonElasticFileSystem. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Suppression d’un rôle lié à un service pour Amazon EFS
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.
Note
Si le service Amazon EFS utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression peut échouer. Si cela se produit, patientez quelques minutes et réessayez.
Pour supprimer les ressources Amazon EFS utilisées par AWSService RoleForAmazonElasticFileSystem
Procédez comme suit pour supprimer les ressources Amazon EFS utilisées par le AWSServiceRoleForAmazonElasticFileSystem. Pour la procédure détaillée, veuillez consulter Nettoyez les ressources et protégez votre AWS compte.
-
Sur votre EC2 instance Amazon, démontez le système de fichiers Amazon EFS.
-
Supprimez pas le système de fichiers Amazon EFS.
-
Supprimez le groupe de sécurité personnalisé du système de fichiers.
Avertissement
Si vous avez utilisé le groupe de sécurité par défaut pour votre cloud privé virtuel (VPC), ne le supprimez pas.
Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM
Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForAmazonElasticFileSystem service. Pour plus d’informations, veuillez consulter Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
