Menggunakan Peran Tertaut Layanan untuk Amazon ElastiCache

Amazon ElastiCache menggunakan peran terkait layananAWS Identity and Access Management (IAM). Peran terkait layanan adalah jenis peran IAM unik yang terhubung langsung keAWS layanan, seperti Amazon ElastiCache. Peran ElastiCache tertaut layanan Amazon telah ditentukan sebelumnya oleh Amazon ElastiCache. Peran mencakup semua izin yang diperlukan layanan untuk menghubungiAWS layanan atas nama klaster Anda.

Peran tertaut layanan ElastiCache mempermudah pengaturan Amazon karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Peran sudah ada di dalamAWS akun Anda namun terkait dengan kasus ElastiCache penggunaan Amazon dan memiliki izin yang telah ditetapkan. Hanya Amazon yang ElastiCache dapat mengambil peran ini, dan hanya peran ini yang dapat menggunakan kebijakan izin yang telah ditetapkan. Anda dapat menghapus peran hanya setelah menghapus sumber daya yang tertaut lebih dahulu. Tindakan ini akan melindungi ElastiCache sumber daya Amazon karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran tertaut layanan, lihat Layanan yang Bekerja dengan IAM AWS dan mencari layanan yang memiliki opsi Ya di kolom Peran Tertaut Layanan. Pilih Yes (Ya) bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Daftar Isi

• Izin Peran Terkait Layanan
• Membuat Peran Tertaut Layanan (IAM)
  • Menggunakan Konsol IAM
  • Menggunakan IAM CLI
  • Menggunakan API IAM
• Mengedit Deskripsi Peran Tertaut Layanan
  • Menggunakan Konsol IAM
  • Menggunakan IAM CLI
  • Menggunakan API IAM
• Menghapus Peran Terkait Layanan untuk Amazon ElastiCache
  • Membersihkan Peran Tertaut Layanan
  • Menghapus Peran Terkait Layanan (Konsol IAM)
  • Menghapus Peran Terkait Layanan (IAM CLI)
  • Menghapus Peran Terkait Layanan (IAM API)

Izin Peran Terkait Layanan untuk Amazon ElastiCache

Amazon ElastiCache menggunakan peran terkait layanan bernama AWSServiceRoleForElastiCache— Kebijakan ini memungkinkan ElastiCache untuk mengelolaAWS sumber daya atas nama Anda sebagaimana diperlukan untuk mengelola cache Anda.

Kebijakan izin peranAWSServiceRoleForElastiCache terkait layanan memungkinkan Amazon ElastiCache menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

Permission policy:
{
	"Version": "2012-10-17",
	"Statement": [
		{
			"Effect": "Allow",
			"Action": [
				"ec2:AuthorizeSecurityGroupIngress",
				"ec2:CreateNetworkInterface",
				"ec2:CreateSecurityGroup",
				"ec2:DeleteNetworkInterface",
				"ec2:DeleteSecurityGroup",
				"ec2:DescribeAvailabilityZones",
				"ec2:DescribeNetworkInterfaces",
				"ec2:DescribeSecurityGroups",
				"ec2:DescribeSubnets",
				"ec2:DescribeVpcs",
				"ec2:ModifyNetworkInterfaceAttribute",
				"ec2:RevokeSecurityGroupIngress",
				"cloudwatch:PutMetricData",
				"outposts:GetOutpost",
				"outposts:GetOutpostInstanceTypes",
				"outposts:ListOutposts",
				"outposts:ListSites",
				"logs:DeleteLogDelivery",
				"application-autoscaling:DeregisterScalableTarget",
				"application-autoscaling:DescribeScalableTargets"
			],
			"Resource": "*"
		},
		{
			"Effect": "Allow",
			"Action": [
				"ec2:AssignIpv6Addresses",
				"ec2:UnassignIpv6Addresses"
			],
			"Resource": "arn:aws:ec2:*:*:network-interface/eni-*"
		}
	]
}

Untuk mengizinkan entitas IAM membuat peranAWSServiceRoleForElastiCache tertaut layanan

Tambahkan pernyataan kebijakan berikut ini ke izin untuk entitas IAM:

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWSServiceRoleForElastiCache*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "elasticache.amazonaws.com"}}
}

Untuk mengizinkan entitas IAM menghapus peranAWSServiceRoleForElastiCache tertaut layanan

Tambahkan pernyataan kebijakan berikut ini ke izin untuk entitas IAM:

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWSServiceRoleForElastiCache*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "elasticache.amazonaws.com"}}
}

Atau, Anda dapat menggunakan kebijakan yangAWS dikelola untuk memberikan akses penuh ke Amazon ElastiCache.

Membuat Peran Tertaut Layanan (IAM)

Anda dapat membuat peran terkait layanan menggunakan konsol IAM, CLI, atau API.

Membuat Peran Tertaut Layanan (Kebijakan IAM)

Anda dapat menggunakan konsol IAM untuk membuat peran tertaut layanan.

Untuk membuat peran tertaut layanan (konsol)

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi konsol IAM, pilih Peran. Lalu, pilih Buat peran baru.

3. Di bawah Pilih jenis entitas tepercaya, pilih Layanan AWS.

4. Di bawah Atau pilih layanan untuk melihat kasus penggunaannya, pilih ElastiCache.

5. Pilih Next: Permissions (Selanjutnya: Izin).

6. Di bawahNama kebijakan, perhatikan bahwa ElastiCacheServiceRolePolicy diperlukan untuk peran ini. Pilih Berikutnya:Tanda.

7. Perhatikan bahwa tanda tidak didukung untuk peran Tertaut-Layanan. Pilih Berikutnya:Tinjau.

8. (Opsional) Untuk Deskripsi peran, edit deskripsi untuk peran tertaut layanan baru.

9. Tinjau peran dan kemudian pilih Buat peran.

Membuat Peran Tertaut Layanan (IAM CLI)

Anda dapat menggunakan operasi IAM dariAWS Command Line Interface untuk membuat peran tertaut layanan. Peran ini dapat mencakup kebijakan kepercayaan dan kebijakan terkait yang diperlukan oleh layanan untuk mengambil peran tersebut.

Untuk membuat peran tertaut layanan (CLI)

Panggil operasi berikut:

$ aws iam create-service-linked-role --aws-service-name elasticache.amazonaws.com

Membuat Peran Tertaut Layanan (IAM API)

Anda dapat menggunakan API IAM untuk membuat peran tertaut layanan. Peran ini dapat mencakup kebijakan kepercayaan dan kebijakan terkait yang diperlukan oleh layanan untuk mengambil peran tersebut.

Untuk membuat peran tertaut layanan (API)

Gunakan panggilan API CreateServiceLinkedRole. Dalam permintaan, sebutkan nama layanan dari elasticache.amazonaws.com.

Menyunting Penjelasan Peran Terkait Layanan untuk Amazon ElastiCache

Amazon ElastiCache tidak mengizinkan Anda untuk mengedit peranAWSServiceRoleForElastiCache tertaut layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting Deskripsi peran menggunakan IAM.

Menyunting Penjelasan Peran Terkait Layanan (Kebijakan IAM)

Anda dapat menggunakan konsol IAM untuk mengedit deskripsi peran tertaut layanan.

Untuk menyunting Deskripsi peran tertaut layanan (konsol)

1. Di panel navigasi konsol IAMmemilih Peran.

2. Pilih nama peran yang akan dimodifikasi.

3. Di sisi kanan jauh dari Deskripsi peran, pilih Sunting.

4. Masukkan deskripsi baru di kotak, dan pilih Simpan.

Menyunting Penjelasan Peran Terkait Layanan (IAM CLI)

Anda dapat menggunakan operasi IAM dariAWS Command Line Interface untuk mengedit deskripsi peran tertaut layanan.

Untuk mengubah deskripsi peran tertaut layanan (CLI)

1. (Opsional) Untuk melihat penjelasan peran saat ini, gunakan operasi IAMget-role.AWS CLI

   $ aws iam get-role --role-name AWSServiceRoleForElastiCache

   Gunakan nama peran, bukan ARN, untuk mengacu ke peran itu dengan operasi CLI. Misalnya, jika peran memiliki ARN berikut: arn:aws:iam::123456789012:role/myrole, maka peran dirujuk sebagai myrole.

2. Untuk memperbarui penjelasan peran terkait layanan, gunakan operasi IAMupdate-role-description.AWS CLI

   Untuk Linux, macOS, atau Unix:

   $ aws iam update-role-description \
       --role-name AWSServiceRoleForElastiCache \
       --description "new description"

   Untuk Windows:

   $ aws iam update-role-description ^
       --role-name AWSServiceRoleForElastiCache ^
       --description "new description"

Menyunting Penjelasan Peran Terkait Layanan (IAM API)

Anda dapat menggunakan API IAM untuk mengedit deskripsi peran tertaut layanan.

Untuk mengubah deskripsi peran tertaut layanan (API)

1. (Opsional) Untuk melihat penjelasan peran saat ini, gunakan operasi IAMGetRole.

   https://iam.amazonaws.com/
      ?Action=GetRole
      &RoleName=AWSServiceRoleForElastiCache
      &Version=2010-05-08
      &AUTHPARAMS

2. Untuk memperbarui penjelasan peran, gunakan operasi IAMUpdateRoleDescription.

   https://iam.amazonaws.com/
      ?Action=UpdateRoleDescription
      &RoleName=AWSServiceRoleForElastiCache
      &Version=2010-05-08
      &Description="New description"

Menghapus Peran Terkait Layanan untuk Amazon ElastiCache

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran tertaut layanan sebelum dapat menghapusnya.

Amazon ElastiCache tidak menghapus peran tertaut layanan untuk Anda.

Membersihkan Peran Tertaut Layanan

Sebelum Anda dapat menggunakan IAM untuk menghapus peran tertaut layanan, pastikan terlebih dahulu bahwa peran tersebut tidak memiliki sumber daya (klaster atau grup replikasi) yang terkait dengan itu.

Untuk memastikan peran tertaut layanan memiliki sesi aktif di konsol IAM

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi konsol IAM, pilih Peran. Lalu pilih nama (bukan kotak centang) dari peran AWSServiceRoleForElastiCache .

3. Pada halaman Ringkasan untuk peran yang dipilih, pilih tab Penasihat Akses.

4. Pada tab Penasihat Akses, ‍tinjau aktivitas terbaru untuk peran tertaut layanan itu.

Untuk menghapus ElastiCache sumber daya Amazon yang memerlukanAWSServiceRoleForElastiCache (konsol)

• Untuk menghapus klaster, lakukan hal berikut:

  • Menggunakan AWS Management Console

  • Menggunakan AWS CLI Menggunakan AWS CLI

  • Menggunakan ElastiCache API Menggunakan ElastiCache API

• Untuk menghapus grup replikasi, lihat berikut ini:

  • Menghapus Grup Replikasi (CONsole)

  • Menghapus Grup Replikasi (AWS CLI)

  • Menghapus grup replikasi (ElastiCache API)

Menghapus Peran Terkait Layanan (Konsol IAM)

Anda dapat menggunakan konsol IAM untuk menghapus peran tertaut layanan.

Untuk menghapus peran terkait layanan (konsol)

1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

2. Di panel navigasi konsol IAM, pilih Peran. Lalu pilih kotak centang di sebelah nama peran yang ingin Anda hapus, bukan nama atau baris itu sendiri.

3. Untuk Tindakan peran pada bagian atas halaman, pilih Hapus peran.

4. Pada kotak dialog konfirmasi, tinjau data akses terakhir layanan, yang menunjukkan waktu terakhir setiap peran yang dipilih mengakses layanan AWS. Ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih Ya, Hapus untuk mengirimkan peran terkait layanan untuk penghapusan.

5. Perhatikan pemberitahuan konsol IAM untuk memantau kemajuan penghapusan peran terkait layanan. Karena penghapusan peran tertaut layanan IAM bersifat asinkron, setelah Anda kirimkan peran tersebut untuk dihapus, tugas penghapusan dapat berhasil atau gagal. Jika tugas tersebut gagal, Anda dapat memilih Lihat detail atau Lihat Sumber Daya dari notifikasi untuk mempelajari alasan penghapusan gagal.

Menghapus Peran Terkait Layanan (IAM CLI)

Anda dapat menggunakan operasi IAM dariAWS Command Line Interface untuk menghapus peran tertaut layanan.

Untuk menghapus peran yang terhubung dengan layanan (CLI)

1. Jika Anda tidak tahu nama peran tertaut layanan yang ingin dihapus, masukkan perintah berikut. Perintah ini menampilkan daftar peran dan Amazon Resource Names (ARN) di akun Anda.

   $ aws iam get-role --role-name role-name

   Gunakan nama peran, bukan ARN, untuk mengacu ke peran itu dengan operasi CLI. Misalnya, jika peran memiliki ARN arn:aws:iam::123456789012:role/myrole, mengaculah ke peran itu sebagai myrole.

2. Karena peran tertaut layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat ini tidak terpenuhi. Anda harus menangkap deletion-task-id dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran tertaut layanan:

   $ aws iam delete-service-linked-role --role-name role-name

3. Ketik perintah berikut untuk memeriksa status tugas penghapusan:

   $ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

   Kemungkinan status tugas penghapusan adalah NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah.

Menghapus Peran Terkait Layanan (IAM API)

Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.

Untuk menghapus peran tertaut layanan (API)

1. Untuk mengirimkan permintaan penghapusan untuk gulungan tertaut layanan, panggil DeleteServiceLinkedRole. Pada permintaan itu, tentukan nama peran.

   Karena peran tertaut layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika syarat ini tidak terpenuhi. Anda harus menangkap DeletionTaskId dari tanggapan untuk memeriksa status tugas penghapusan.

2. Untuk memeriksa status penghapusan, panggilGetServiceLinkedRoleDeletionStatus. Pada permintaan itu, tentukan DeletionTaskId.

   Kemungkinan status tugas penghapusan adalah NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah.