Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Buat peran tertaut layanan
Peran terkait layanan adalah jenis peran unik yang IAM ditautkan langsung ke layanan. AWS Peran terkait layanan telah ditentukan sebelumnya oleh layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Layanan yang terhubung juga menentukan cara Anda membuat, memodifikasi, dan menghapus peran yang terkait dengan layanan. Layanan dapat secara otomatis membuat atau menghapus peran. Peran ini memungkinkan Anda membuat, memodifikasi, atau menghapus peran sebagai bagian dari wizard atau proses dalam layanan. Atau mungkin mengharuskan Anda menggunakan IAM untuk membuat atau menghapus peran. Terlepas dari metodenya, peran terkait layanan menyederhanakan proses penyiapan layanan karena Anda tidak perlu menambahkan izin secara manual untuk layanan untuk menyelesaikan tindakan atas nama Anda.
catatan
Ingatlah bahwa peran layanan berbeda dari peran terkait layanan. Peran layanan adalah IAMperan yang diasumsikan layanan untuk melakukan tindakan atas nama Anda. IAMAdministrator dapat membuat, memodifikasi, dan menghapus peran layanan dari dalamIAM. Untuk informasi selengkapnya, lihat Membuat peran untuk mendelegasikan izin ke Layanan AWS dalam IAMPanduan Pengguna. Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. IAMAdministrator dapat melihat, tetapi tidak mengedit izin untuk peran terkait layanan.
Layanan tertaut menentukan izin peran tertaut-layanannya, dan kecuali ditentukan lain, hanya layanan itu yang dapat mengambil peran tersebut. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain mana pun. IAM
Sebelum Anda dapat menghapus peran, Anda harus terlebih dahulu menghapus sumber daya terkait mereka. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Tip
Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
Izin peran terkait layanan
Anda harus mengonfigurasi izin untuk IAM entitas (pengguna atau peran) agar pengguna atau peran dapat membuat atau mengedit peran terkait layanan.
catatan
Peran ARN untuk layanan terkait mencakup prinsip layanan, yang ditunjukkan dalam kebijakan di bawah ini sebagai. SERVICE-NAME.amazonaws.com
Untuk mengizinkan IAM entitas membuat peran terkait layanan tertentu
Tambahkan kebijakan berikut ke IAM entitas yang perlu membuat peran terkait layanan.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*", "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}} }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*" } ] }
Untuk mengizinkan IAM entitas membuat peran terkait layanan
Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu membuat peran terkait layanan, atau peran layanan apa pun yang menyertakan kebijakan yang diperlukan. Pernyataan kebijakan ini tidak mengizinkan IAM entitas untuk melampirkan kebijakan ke peran tersebut.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Untuk mengizinkan IAM entitas mengedit deskripsi peran layanan apa pun
Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu mengedit deskripsi peran terkait layanan, atau peran layanan apa pun.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Untuk mengizinkan IAM entitas menghapus peran terkait layanan tertentu
Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu menghapus peran terkait layanan.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*" }
Untuk mengizinkan IAM entitas menghapus peran terkait layanan
Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu menghapus peran terkait layanan, tetapi bukan peran layanan.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Untuk memungkinkan IAM entitas meneruskan peran yang ada ke layanan
Beberapa AWS layanan memungkinkan Anda untuk meneruskan peran yang ada ke layanan, alih-alih membuat peran terkait layanan baru. Untuk melakukannya, pengguna harus memiliki izin untuk melewati peran tersebut dengan layanan tersebut. Tambahkan pernyataan berikut ke kebijakan izin untuk IAM entitas yang perlu meneruskan peran. Pernyataan kebijakan ini juga memungkinkan entitas untuk melihat daftar peran yang darinya mereka dapat memilih peran untuk diteruskan. Untuk informasi selengkapnya, lihat Berikan izin pengguna untuk meneruskan peran ke layanan AWS.
{ "Sid": "PolicyStatementToAllowUserToListRoles", "Effect": "Allow", "Action": ["iam:ListRoles"], "Resource": "*" }, { "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/my-role-for-XYZ" }
Izin tidak langsung dengan peran terkait layanan
Izin yang diberikan oleh peran terkait layanan dapat ditransfer secara tidak langsung ke pengguna dan peran lain. Ketika peran terkait layanan digunakan oleh AWS layanan, peran terkait layanan tersebut dapat menggunakan izinnya sendiri untuk memanggil layanan lain. AWS Ini berarti bahwa pengguna dan peran dengan izin untuk memanggil layanan yang menggunakan peran terkait layanan mungkin memiliki akses tidak langsung ke layanan yang dapat diakses oleh peran terkait layanan tersebut.
Misalnya, saat Anda membuat instans Amazon RDS DB, peran yang ditautkan layanan akan RDS dibuat secara otomatis jika belum ada. Peran terkait layanan ini memungkinkan Anda RDS untuk memanggil Amazon, EC2 Amazon, SNS Amazon CloudWatch Logs, dan Amazon Kinesis atas nama Anda. Jika Anda mengizinkan pengguna dan peran di akun Anda untuk memodifikasi atau membuat RDS database, mereka mungkin dapat berinteraksi secara tidak langsung dengan Amazon, Amazon, CloudWatch log EC2 SNS Amazon Logs, dan sumber daya Amazon Kinesis dengan RDS menelepon, RDS seperti yang akan menggunakan peran terkait layanan untuk mengakses sumber daya tersebut.
Membuat peran terkait layanan
Metode yang Anda gunakan untuk membuat peran terkait layanan tergantung pada layanannya. Dalam beberapa kasus, Anda tidak perlu membuat peran terkait layanan secara manual. Misalnya, ketika Anda menyelesaikan tindakan tertentu (seperti membuat sumber daya) dalam layanan, layanan tersebut mungkin membuat peran yang berkaitan dengan layanan bagi Anda. Atau jika Anda menggunakan layanan sebelum mulai mendukung peran tertaut-layanan, maka layanan tersebut mungkin secara otomatis membuat peran tersebut di akun Anda. Untuk mempelajari informasi selengkapnya, lihat Peran baru muncul di akun AWS saya.
Dalam kasus lain, layanan mungkin mendukung pembuatan peran terkait layanan secara manual menggunakan konsol layananAPI, atau. CLI Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Untuk mempelajari apakah layanan mendukung pembuatan peran tertaut-layanan, pilih tautan Ya untuk melihat dokumentasi peran tertaut-layanan untuk layanan itu.
Jika layanan tidak mendukung pembuatan peran, maka Anda dapat menggunakannya IAM untuk membuat peran terkait layanan.
penting
Peran terkait layanan diperhitungkan terhadap IAMperan Anda dalam Akun AWS batas, tetapi jika Anda telah mencapai batas, Anda masih dapat membuat peran terkait layanan di akun Anda. Hanya peran yang berkaitan dengan layanan yang dapat melebihi batas.
Membuat peran terkait layanan (konsol)
Sebelum membuat peran terkait layananIAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan, Selain itu, pelajari apakah Anda dapat membuat peran dari konsol layanan, atau. API CLI
Untuk membuat peran terkait layanan (konsol)
Masuk ke AWS Management Console dan buka IAM konsol di https://console.aws.amazon.com/iam/
. -
Di panel navigasi IAM konsol, pilih Peran. Kemudian, pilih Buat peran.
-
Pilih jenis peran AWS Layanan.
-
Pilih kasus penggunaan untuk layanan Anda. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang disyaratkan oleh layanan. Lalu, pilih Selanjutnya.
-
Pilih satu kebijakan izin atau lebih untuk dilampirkan ke peran tersebut. Bergantung pada kasus penggunaan yang Anda pilih, layanan mungkin melakukan salah satu hal berikut:
-
Tentukan izin yang digunakan oleh peran.
-
Memungkinkan Anda memilih dari serangkaian izin terbatas.
-
Memungkinkan Anda memilih dari izin apa pun.
-
Memungkinkan Anda memilih tidak ada kebijakan saat ini, membuat kebijakan nanti, lalu melampirkannya ke peran.
Pilih kotak centang di samping kebijakan yang menetapkan izin yang Anda inginkan untuk peran tersebut, lalu pilih Berikutnya.
catatan
Izin yang Anda tentukan tersedia untuk setiap entitas yang menggunakan peran tersebut. Secara default, peran tidak memiliki izin.
-
-
Untuk Nama peran, tingkat penyesuaian nama peran ditentukan oleh layanan. Jika layanan mendefinisikan nama peran, maka opsi ini tidak dapat diedit. Dalam kasus lain, layanan mungkin menentukan awalan untuk peran dan memungkinkan Anda memasukkan akhiran opsional.
Jika memungkinkan, masukkan akhiran nama peran untuk ditambahkan ke nama default. Akhiran ini membantu Anda mengidentifikasi tujuan peran ini. Nama peran harus unik di akun AWS Anda. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat peran dengan nama
<service-linked-role-name>_SAMPLEdan<service-linked-role-name>_sample. Anda tidak dapat mengubah nama peran setelah dibuat karena berbagai entitas mungkin mereferensikan peran tersebut. -
(Opsional) Untuk Deskripsi, edit deskripsi untuk peran terkait layanan baru.
-
Anda tidak dapat melampirkan tanda ke peran terkait layanan selama pembuatan. Untuk informasi selengkapnya tentang penggunaan tag diIAM, lihatTag untuk AWS Identity and Access Management sumber daya.
-
Tinjau peran dan kemudian pilih Buat peran.
Membuat peran terkait layanan (AWS CLI)
Sebelum membuat peran terkait layananIAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan dan apakah Anda dapat membuat peran dari layanan. CLI Jika layanan tidak CLI didukung, Anda dapat menggunakan IAM perintah untuk membuat peran terkait layanan dengan kebijakan kepercayaan dan kebijakan sebaris yang diperlukan layanan untuk mengambil peran tersebut.
Untuk membuat peran terkait layanan ()AWS CLI
Jalankan perintah berikut:
aws iam create-service-linked-role --aws-service-nameSERVICE-NAME.amazonaws.com
Membuat peran terkait layanan ()AWS API
Sebelum membuat peran terkait layananIAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan dan apakah Anda dapat membuat peran dari layanan. API Jika layanan tidak API didukung, Anda dapat menggunakannya AWS API untuk membuat peran terkait layanan dengan kebijakan kepercayaan dan kebijakan sebaris yang diperlukan layanan untuk mengambil peran tersebut.
Untuk membuat peran terkait layanan ()AWS API
Gunakan CreateServiceLinkedRoleAPIpanggilan. Dalam permintaan, sebutkan nama layanan dari SERVICE_NAME_URL.amazonaws.com
Misalnya, untuk membuat peran terkait layanan Lex Bots, gunakan lex.amazonaws.com.
