Utiliser des rôles liés à un service pour l'accès vérifié - AWS Accès vérifié
Autorisations de rôles liés à un serviceCréer un rôle lié à un serviceModification d’un rôle lié à un serviceSupprimer un rôle lié à un serviceRégions prises en charge

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utiliser des rôles liés à un service pour l'accès vérifié

Accès vérifié par AWS utilise un rôle lié à un service IAM, qui est un type de rôle IAM directement lié à un service. AWS Les rôles liés au service pour Verified Access sont définis par Verified Access et incluent toutes les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom.

Un rôle lié à un service facilite la configuration de l'accès vérifié, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. L'accès vérifié définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul l'accès vérifié peut assumer ses rôles. Les autorisations définies incluent la politique de confiance et la politique d'autorisations, et cette politique d'autorisations ne peut être attachée à aucune autre entité IAM.

Autorisations de rôle liées au service pour l'accès vérifié

L'accès vérifié utilise le rôle lié au service nommé AWSServiceRoleForVPCVerifiedAccès pour fournir les ressources de votre compte nécessaires à l'utilisation du service.

Le rôle lié AWSServiceRoleForVPCVerifiedau service Access fait confiance aux services suivants pour assumer ce rôle :

  • verified-access.amazonaws.com

La politique d'autorisation des rôles, nommée AWSVPCVerifiedAccessServiceRolePolicy, permet à Verified Access d'effectuer les actions suivantes sur les ressources spécifiées :

  • Action ec2:CreateNetworkInterface sur tous les sous-réseaux et groupes de sécurité, ainsi que sur toutes les interfaces réseau comportant le tag VerifiedAccessManaged=true

  • Action ec2:CreateTags sur toutes les interfaces réseau au moment de la création

  • Action ec2:DeleteNetworkInterface sur toutes les interfaces réseau avec le tag VerifiedAccessManaged=true

  • Action ec2:ModifyNetworkInterfaceAttribute sur tous les groupes de sécurité et toutes les interfaces réseau avec le tag VerifiedAccessManaged=true

Vous pouvez également consulter les autorisations associées à cette politique dans le Guide de référence des politiques AWS gérées ; voir AWSVPCVerifiedAccessServiceRolePolicy.

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Création d'un rôle lié à un service pour Verified Access

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous appelez CreateVerifiedAccessEndpointl'API AWS Management Console, la ou l' AWS API AWS CLI, Verified Access crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous appelez à CreateVerifiedAccessEndpointnouveau, Verified Access crée à nouveau le rôle lié au service pour vous.

Modifier un rôle lié à un service pour Verified Access

L'accès vérifié ne vous permet pas de modifier le rôle lié AWSServiceRoleForVPCVerifiedau service Access. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir Modifier la description d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Supprimer un rôle lié à un service pour Verified Access

Il n'est pas nécessaire de supprimer manuellement le rôle AWSServiceRoleForVPCVerifiedAccess. Lorsque vous appelez DeleteVerifiedAccessEndpointl'API AWS Management Console, la AWS CLI ou l' AWS API, Verified Access nettoie les ressources et supprime le rôle lié au service pour vous.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié AWSServiceRoleForVPCVerifiedau service Access. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le Guide de l'utilisateur IAM.

Régions prises en charge pour les rôles liés au service Verified Access

Verified Access prend en charge l'utilisation de rôles liés au service partout Régions AWS où le service est disponible. Pour de plus amples informations, veuillez consulter AWS Régions et points de terminaison.