Rôles lié à un service pour AWS SMS - AWS Server Migration Service

Mise à jour produit

Il est recommandé :AWSApplication Migration Service(AWSMGN) en tant que service de migration principal pour lift-and-shift Migration. SiAWSMGN n'est pas disponible dans unAWS, vous pouvez utiliser laAWS SMSAPIjusqu'en mars 2023.

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Rôles lié à un service pour AWS SMS

AWS SMS utilise un rôle lié à un service pour les autorisations dont il a besoin pour appeler d'autres services AWS en votre nom. Pour plus d'informations, consultez Utilisation des rôles liés à un service dans le IAM Guide de l'utilisateur.

Avant l'introduction d'un rôle lié à un service pour AWS SMS, vous deviez créer deux rôles IAM pour accorder à AWS SMS les autorisations requises. Ces rôles ne sont plus nécessaires pour utiliser AWS SMS. Toutefois, ils sont documentés ici par souci d'exhaustivité. Pour plus d'informations, consultez Rôles IAM hérités pourAWS SMS.

Autorisations accordées par le rôle lié à un service

AWS SMS utilise le rôle lié au service nommé AWSServiceRoleForSMS pour permettre à AWS SMS de gérer vos tâches de réplication.

AWSServiceRoleForSMS fait confiance au mandataire du service sms.amazonaws.com pour assumer le rôle.

La politique d'autorisations liée au rôle permet à AWS SMS de réaliser les actions suivantes sur les ressources spécifiées :

  • Utiliser des actions AWS SMS spécifiques pour créer et gérer des tâches de réplication

  • Utiliser des actions AWS CloudFormation spécifiques pour créer et gérer arn:aws:cloudformation:*:*:stack/sms-app-*/*

  • Utiliser des actions Amazon EC2 spécifiques pour gérer des instantanés et des images, lancer des instances et gérer des instances qui répondent à la condition de balise suivante : ec2:ResourceTag/aws:cloudformation:stack-id » : « arn:aws:cloudformation : *:*:stack/sms-app-*/*

  • Utiliser des actions AWS Systems Manager spécifiques pour exécuter des scripts sur vos instances

  • Utiliser iam:GetRole sur toutes les ressources et iam:PassRole sur arn:aws:cloudformation:*:*:stack/sms-app-*/*

  • Utiliser des actions Amazon S3 spécifiques pour créer et gérer arn:aws:s3። :sms-app-*

Création du rôle lié à un service

Vous pouvez créer manuellement ce rôle lié à un service à l'aide de ce qui suitAWS CLI rôle lié à la création d'un servicecommande pour créerRôle AWSServiceRoleForSMS.

aws iam create-service-linked-role --aws-service-name sms.amazonaws.com

La modification du rôle lié à un service

Vous pouvez modifier la description duRôle AWSServiceRoleForSMSUtilisation d'IAM. Pour de plus amples informations, veuillez consulter Modification d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Suppression du rôle lié à un service

Si vous n'avez plus besoin d'utiliser AWS SMS, nous vous recommandons de supprimer le rôle AWSServiceRoleForSMS. Le rôle lié à un service peut être supprimé uniquement dans les conditions suivantes :

  • Le rôle lié à un service n'est pas utilisé par une tâche de réplication active

  • Le rôle lié à un service n'est pas utilisé par une application associée à une tâche de réplication active

  • Le rôle lié à un service n'est pas utilisé par une application qui a une pile AWS CloudFormation associée

Vous pouvez utiliser la console IAM, l'IAM CLI ou l'IAM API pour supprimer les rôles liés aux services. Pour de plus amples informations, veuillez consulter Suppression d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Après avoir supprimé le rôle AWSServiceRoleForSMS AWS SMS le crée à nouveau si vous démarrez une tâche de réplication.