Menggunakan peran terkait layanan - AWS Identity and Access Management
Izin peran terkait layananIzin tidak langsungMembuat peran terkait layananMengedit peran yang ditautkan ke layananMenghapus peran yang ditautkan ke layanan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan

Peran tertaut layanan adalah tipe unik peran IAM yang tertaut secara langsung dengan layanan AWS . Peran terkait layanan telah ditentukan sebelumnya oleh layanan dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda. Layanan yang terhubung juga menentukan cara Anda membuat, memodifikasi, dan menghapus peran yang terkait dengan layanan. Layanan dapat secara otomatis membuat atau menghapus peran. Peran ini memungkinkan Anda membuat, memodifikasi, atau menghapus peran sebagai bagian dari wizard atau proses dalam layanan. Atau Anda harus menggunakan IAM untuk membuat atau menghapus peran tersebut. Terlepas dari metodenya, peran terkait layanan menyederhanakan proses penyiapan layanan karena Anda tidak perlu menambahkan izin secara manual untuk layanan untuk menyelesaikan tindakan atas nama Anda.

catatan

Ingatlah bahwa peran layanan berbeda dari peran terkait layanan. Peran layanan adalah peran IAM yang diambil oleh sebuah layanan untuk melakukan tindakan atas nama Anda. Administrator IAM dapat membuat, mengubah, dan menghapus peran layanan dari dalam IAM. Untuk informasi selengkapnya, lihat Membuat sebuah peran untuk mendelegasikan izin ke Layanan AWS dalam Panduan pengguna IAM. Peran terkait layanan adalah jenis peran layanan yang ditautkan ke. Layanan AWS Layanan tersebut dapat menjalankan peran untuk melakukan tindakan atas nama Anda. Peran terkait layanan muncul di Anda Akun AWS dan dimiliki oleh layanan. Administrator IAM dapat melihat, tetapi tidak dapat mengedit izin untuk peran terkait layanan.

Layanan tertaut menentukan izin peran tertaut-layanannya, dan kecuali ditentukan lain, hanya layanan itu yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Sebelum Anda dapat menghapus peran, Anda harus terlebih dahulu menghapus sumber daya terkait mereka. Ini melindungi sumber daya Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Tip

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran terkait layanan

Anda harus mengonfigurasi izin untuk entitas IAM (pengguna atau peran) untuk mengizinkan pengguna atau peran membuat atau mengedit peran tertaut-layanan.

catatan

ARN untuk peran terkait layanan mencakup prinsipal layanan, yang ditunjukkan dalam kebijakan di bawah ini sebagai SERVICE-NAME.amazonaws.com. Jangan mencoba menebak prinsip layanan, karena peka huruf besar/kecil dan formatnya dapat bervariasi antar AWS layanan. Untuk melihat prinsipal layanan untuk suatu layanan, lihat dokumentasi peran yang terkait dengan layanan.

Untuk memungkinkan entitas IAM membuat peran terkait layanan tertentu

Tambahkan kebijakan berikut ke entitas IAM yang perlu membuat peran tertaut-layanan.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
        }
    ]
}

Untuk mengizinkan entitas IAM membuat peran terkait layanan apa pun

Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu membuat peran tertaut-layanan, atau peran layanan apa pun yang menyertakan kebijakan yang diperlukan. Pernyataan kebijakan ini tidak mengizinkan entitas IAM untuk melampirkan kebijakan ke peran tersebut.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Untuk mengizinkan entitas IAM mengedit deskripsi peran layanan apa pun

Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu mengedit deskripsi peran tertaut-layanan, atau peran layanan apa pun.

{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Untuk mengizinkan entitas IAM menghapus peran terkait layanan tertentu

Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu menghapus peran tertaut-layanan.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
}

Untuk mengizinkan entitas IAM menghapus peran terkait layanan apa pun

Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu menghapus peran tertaut-layanan, tetapi bukan peran layanan.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Untuk memungkinkan entitas IAM meneruskan peran yang ada ke layanan

Beberapa AWS layanan memungkinkan Anda untuk meneruskan peran yang ada ke layanan, alih-alih membuat peran terkait layanan baru. Untuk melakukannya, pengguna harus memiliki izin untuk melewati peran tersebut dengan layanan tersebut. Tambahkan pernyataan berikut ini ke kebijakan izin untuk entitas IAM yang perlu meneruskan peran. Pernyataan kebijakan ini juga memungkinkan entitas untuk melihat daftar peran yang darinya mereka dapat memilih peran untuk diteruskan. Untuk informasi selengkapnya, lihat Memberi izin kepada pengguna untuk meneruskan peran ke layanan AWS.

{
  "Sid": "PolicyStatementToAllowUserToListRoles",
  "Effect": "Allow",
  "Action": ["iam:ListRoles"],
  "Resource": "*"
},
{
  "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole",
  "Effect": "Allow",
  "Action": [ "iam:PassRole" ],
  "Resource": "arn:aws:iam::account-id:role/my-role-for-XYZ"
}

Izin tidak langsung dengan peran terkait layanan

Izin yang diberikan oleh peran terkait layanan dapat ditransfer secara tidak langsung ke pengguna dan peran lain. Ketika peran terkait layanan digunakan oleh AWS layanan, peran terkait layanan tersebut dapat menggunakan izinnya sendiri untuk memanggil layanan lain. AWS Ini berarti bahwa pengguna dan peran dengan izin untuk memanggil layanan yang menggunakan peran terkait layanan mungkin memiliki akses tidak langsung ke layanan yang dapat diakses oleh peran terkait layanan tersebut.

Misalnya, saat Anda membuat instans Amazon RDS DB, peran terkait layanan untuk RDS secara otomatis dibuat jika belum ada. Peran terkait layanan ini memungkinkan RDS memanggil Amazon EC2, Amazon SNS, Amazon CloudWatch Logs, dan Amazon Kinesis atas nama Anda. Jika Anda mengizinkan pengguna dan peran di akun Anda untuk memodifikasi atau membuat database RDS, mereka mungkin dapat berinteraksi secara tidak langsung dengan Amazon EC2, Amazon SNS, log Amazon Logs, dan sumber daya CloudWatch Amazon Kinesis dengan memanggil RDS, karena RDS akan menggunakan peran terkait layanan untuk mengakses sumber daya tersebut.

Membuat peran terkait layanan

Metode yang Anda gunakan untuk membuat peran terkait layanan tergantung pada layanannya. Dalam beberapa kasus, Anda tidak perlu membuat peran terkait layanan secara manual. Misalnya, ketika Anda menyelesaikan tindakan tertentu (seperti membuat sumber daya) dalam layanan, layanan tersebut mungkin membuat peran yang berkaitan dengan layanan bagi Anda. Atau jika Anda menggunakan layanan sebelum mulai mendukung peran tertaut-layanan, maka layanan tersebut mungkin secara otomatis membuat peran tersebut di akun Anda. Untuk mempelajari informasi selengkapnya, lihat Peran baru muncul di akun AWS saya.

Dalam kasus lain, layanan mungkin mendukung pembuatan peran yang ditautkan ke layanan secara manual menggunakan konsol layanan, API, atau CLI. Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Untuk mempelajari apakah layanan mendukung pembuatan peran tertaut-layanan, pilih tautan Ya untuk melihat dokumentasi peran tertaut-layanan untuk layanan itu.

Jika layanan tidak mendukung pembuatan peran, maka Anda dapat menggunakan IAM untuk membuat peran yang terhubung dengan layanan.

penting

Peran terkait layanan dihitung terhadap peran IAM Anda dalam Akun AWS batas, tetapi jika Anda telah mencapai batas, Anda masih dapat membuat peran terkait layanan di akun Anda. Hanya peran yang berkaitan dengan layanan yang dapat melebihi batas.

Membuat peran terkait layanan (konsol)

Sebelum Anda membuat peran yang ditautkan ke layanan di IAM, cari tahu apakah layanan yang ditautkan secara otomatis membuat peran yang ditautkan ke layanan. Selain itu, pelajari apakah Anda dapat membuat peran dari konsol layanan, API, atau CLI.

Untuk membuat peran terkait layanan (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran. Kemudian, pilih Buat peran.

  3. Pilih jenis peran AWS Layanan.

  4. Pilih kasus penggunaan untuk layanan Anda. Kasus penggunaan ditentukan oleh layanan untuk menyertakan kebijakan kepercayaan yang disyaratkan oleh layanan. Lalu, pilih Selanjutnya.

  5. Pilih satu kebijakan izin atau lebih untuk dilampirkan ke peran tersebut. Bergantung pada kasus penggunaan yang Anda pilih, layanan mungkin melakukan salah satu hal berikut:

    • Tentukan izin yang digunakan oleh peran.

    • Memungkinkan Anda memilih dari serangkaian izin terbatas.

    • Memungkinkan Anda memilih dari izin apa pun.

    • Memungkinkan Anda memilih tidak ada kebijakan saat ini, membuat kebijakan nanti, lalu melampirkannya ke peran.

    Pilih kotak centang di samping kebijakan yang menetapkan izin yang Anda inginkan untuk peran tersebut, lalu pilih Berikutnya.

    catatan

    Izin yang Anda tentukan tersedia untuk setiap entitas yang menggunakan peran tersebut. Secara default, peran tidak memiliki izin.

  6. Untuk Nama peran, tingkat penyesuaian nama peran ditentukan oleh layanan. Jika layanan mendefinisikan nama peran, maka opsi ini tidak dapat diedit. Dalam kasus lain, layanan mungkin menentukan awalan untuk peran dan memungkinkan Anda memasukkan akhiran opsional.

    Jika memungkinkan, masukkan akhiran nama peran untuk ditambahkan ke nama default. Akhiran ini membantu Anda mengidentifikasi tujuan peran ini. Nama peran harus unik di akun AWS Anda. Grup tidak dibedakan berdasarkan huruf besar-kecil. Misalnya, Anda tidak dapat membuat peran dengan nama <service-linked-role-name>_SAMPLE dan <service-linked-role-name>_sample. Anda tidak dapat mengubah nama peran setelah dibuat karena berbagai entitas mungkin mereferensikan peran tersebut.

  7. (Opsional) Untuk Deskripsi, edit deskripsi untuk peran terkait layanan baru.

  8. Anda tidak dapat melampirkan tag ke peran terkait layanan selama pembuatan. Untuk informasi selengkapnya tentang menggunakan tag di IAM, lihat Menandai sumber daya IAM.

  9. Tinjau peran dan kemudian pilih Buat peran.

Membuat peran terkait layanan (AWS CLI)

Sebelum membuat peran terkait layanan di IAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan dan apakah Anda dapat membuat peran dari CLI layanan. Jika CLI layanan tidak didukung, Anda dapat menggunakan perintah IAM untuk membuat peran terkait layanan dengan kebijakan kepercayaan dan kebijakan sebaris yang diperlukan layanan untuk menjalankan peran tersebut.

Untuk membuat peran terkait layanan ()AWS CLI

Jalankan perintah berikut:

aws iam create-service-linked-role --aws-service-name SERVICE-NAME.amazonaws.com

Membuat peran terkait layanan (API AWS )

Sebelum membuat peran terkait layanan di IAM, cari tahu apakah layanan tertaut secara otomatis membuat peran terkait layanan dan apakah Anda dapat membuat peran dari API layanan. Jika API layanan tidak didukung, Anda dapat menggunakan AWS API untuk membuat peran terkait layanan dengan kebijakan kepercayaan dan kebijakan sebaris yang diperlukan layanan untuk mengambil peran tersebut.

Untuk membuat peran terkait layanan (API)AWS

Gunakan panggilan API CreateServiceLinkedRole. Dalam permintaan, sebutkan nama layanan dari SERVICE_NAME_URL.amazonaws.com.

Misalnya, untuk membuat peran terkait layanan Lex Bots, gunakan lex.amazonaws.com.

Mengedit peran yang ditautkan ke layanan

Metode yang Anda gunakan untuk mengedit peran yang ditautkan ke layanan bergantung pada layanan. Beberapa layanan mungkin mengizinkan Anda mengedit izin untuk peran tertaut-layanan dari konsol layanan, API, atau CLI. Namun, setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Anda dapat mengedit deskripsi peran apa pun dari konsol IAM, API, atau CLI.

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Untuk mempelajari apakah layanan mendukung pengeditan peran terkait layanan, pilih tautan Yes untuk melihat dokumentasi peran terkait layanan untuk layanan itu.

Mengedit deskripsi peran yang ditautkan ke layanan (konsol)

Anda dapat menggunakan konsol IAM untuk menyunting penjelasan peran terkait layanan.

Untuk menyunting deskripsi peran terkait layanan (konsol IAM)

  1. Di panel navigasi konsol IAM, pilih Peran.

  2. Pilih nama peran yang akan diubah.

  3. Di ujung kanan Deskripsi peran, pilih Edit.

  4. Masukkan deskripsi baru di kotak, lalu pilih Simpan.

Menyunting deskripsi peran terkait layanan (AWS CLI)

Anda dapat menggunakan perintah IAM dari AWS CLI untuk mengedit deskripsi peran terkait layanan.

Untuk mengubah deskripsi peran terkait layanan (AWS CLI)

  1. (Opsional) Untuk melihat deskripsi peran saat ini, jalankan perintah berikut:

    aws iam get-role --role-name ROLE-NAME

    Gunakan nama peran, bukan ARN, untuk mereferensikan ke peran dengan perintah CLI. Misalnya, jika peran memiliki ARN berikut: arn:aws:iam::123456789012:role/myrole, referensi Anda ke peran sebagai myrole.

  2. Untuk memperbarui deskripsi peran terkait layanan, jalankan perintah berikut:

    aws iam update-role --role-name ROLE-NAME --description OPTIONAL-DESCRIPTION

Mengedit deskripsi peran terkait layanan (API)AWS

Anda dapat menggunakan AWS API untuk mengedit deskripsi peran terkait layanan.

Untuk mengubah deskripsi peran terkait layanan (API)AWS

  1. (Opsional) Untuk melihat deskripsi peran saat ini, panggil operasi berikut, dan sebutkan nama peran:

    AWS API: GetRole

  2. Untuk memperbarui deskripsi peran, hubungi operasi berikut, dan sebutkan nama (dan deskripsi opsional) peran tersebut:

    AWS API: UpdateRole

Menghapus peran yang ditautkan ke layanan

Metode yang Anda gunakan untuk membuat peran terkait layanan tergantung pada layanannya. Dalam beberapa kasus, Anda tidak perlu menghapus peran terkait layanan secara manual. Misalnya, ketika Anda menyelesaikan tindakan tertentu (seperti menghapus sumber daya) dalam layanan, layanan mungkin akan menghapus peran terkait layanan untuk Anda.

Dalam kasus lain, layanan mungkin mendukung penghapusan peran terkait layanan secara manual dari konsol layanan, API, atau AWS CLI.

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Untuk mempelajari apakah layanan mendukung penghapusan peran tertaut-layanan, pilih tautan Ya untuk melihat dokumentasi peran tertaut-layanan untuk layanan itu.

Jika layanan tidak mendukung penghapusan peran, Anda dapat menghapus peran terkait layanan dari konsol IAM, API, atau. AWS CLI Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus membersihkan peran terkait layanan sebelum dapat menghapusnya.

Membersihkan peran terkait layanan

Sebelum dapat menggunakan IAM untuk menghapus peran tertaut layanan, Anda harus mengonfirmasi terlebih dahulu bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya yang digunakan oleh peran tersebut.

Untuk memeriksa apakah peran terkait layanan memiliki sesi aktif di konsol IAM

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran. Kemudian pilih nama (bukan kotak centang) dari peran yang ditautkan ke layanan.

  3. Di halaman Ringkasan untuk peran yang dipilih, pilih tab Access Advisor.

  4. Di tab Penasihat Akses, ā€¨Tinjau aktivitas terbaru untuk peran terkait layanan.

    catatan

    Jika Anda tidak yakin apakah layanan menggunakan peran tertaut-layanan, Anda dapat mencoba untuk menghapus peran tersebut. Jika layanan menggunakan peran tersebut, maka penghapusan gagal dan Anda dapat melihat wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran terkait layanan.

Untuk menghapus sumber daya yang digunakan oleh peran terkait layanan

Untuk informasi tentang layanan mana yang mendukung peran yang terkait dengan layanan, lihat AWS layanan yang bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Terkait-Layanan Untuk mempelajari apakah layanan mendukung penghapusan peran tertaut-layanan, pilih tautan Ya untuk melihat dokumentasi peran tertaut-layanan untuk layanan itu. Lihat dokumentasi layanan tersebut untuk mempelajari cara menghapus sumber daya yang digunakan oleh peran tertaut-layanan Anda.

Menghapus peran yang ditautkan ke layanan (konsol)

Anda dapat menggunakan konsol IAM untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan (konsol)

  1. Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran. Kemudian, pilih kotak centang di sebelah nama peran yang ingin dihapus, bukan nama atau baris itu sendiri.

  3. Untuk Tindakan peran di bagian atas halaman, pilih Delete (Hapus).

  4. Di kotak dialog konfirmasi, tinjau informasi yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses AWS layanan. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih Ya, Hapus guna mengirimkan peran terkait layanan untuk penghapusan.

  5. Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk dihapus, tugas penghapusan dapat berhasil atau gagal.

    • Jika tugas berhasil, maka peran tersebut dihapus dari daftar dan pemberitahuan keberhasilan muncul di bagian atas halaman.

    • Jika tugas tersebut gagal, Anda dapat memilih Lihat rincian atau Lihat Sumber Daya dari pemberitahuan untuk mempelajari alasan penghapusan gagal. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

      catatan

      Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun.

    • Jika tugas gagal dan pemberitahuan tidak mencakup daftar sumber daya, maka layanan mungkin tidak mengembalikan informasi tersebut. Untuk mempelajari cara membersihkan sumber daya untuk layanan tersebut, lihat AWS layanan yang bekerja dengan IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Menghapus peran tertaut layanan (AWS CLI)

Anda dapat menggunakan perintah IAM dari AWS CLI untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan (AWS CLI)

  1. Jika Anda mengetahui nama peran terkait layanan yang ingin Anda hapus, masukkan perintah berikut untuk mencantumkan peran di akun Anda:

    aws iam get-role --role-name role-name

    Gunakan nama peran, bukan ARN, untuk mereferensikan ke peran dengan perintah CLI. Misalnya, jika peran memiliki ARN berikut: arn:aws:iam::123456789012:role/myrole, referensi Anda ke peran sebagai myrole.

  2. Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap deletion-task-id dari tanggapan untuk memeriksa status tugas penghapusan. Ketik perintah berikut untuk mengirimkan permintaan penghapusan peran yang terhubung dengan layanan:

    aws iam delete-service-linked-role --role-name role-name

  3. Masukkan perintah berikut untuk memeriksa status tugas penghapusan:

    aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

    catatan

    Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya, lihat AWS layanan yang bekerja dengan IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut

Menghapus peran terkait layanan (API AWS )

Anda dapat menggunakan AWS API untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan (API)AWS

  1. Untuk mengirimkan permintaan penghapusan peran terkait layanan, hubungi. DeleteServiceLinkedRole Di permintaan tersebut, tentukan nama peran.

    Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap DeletionTaskId dari tanggapan untuk memeriksa status tugas penghapusan.

  2. Untuk memeriksa status penghapusan, hubungi. GetServiceLinkedRoleDeletionStatus Di permintaan tersebut, tentukan DeletionTaskId.

    Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan sehingga Anda dapat memecahkan masalah. Jika penghapusan gagal karena peran tersebut sedang menggunakan sumber daya layanan, maka pemberitahuan mencakup daftar sumber daya, jika layanan tersebut mengembalikan informasi tersebut. Anda kemudian dapat membersihkan sumber daya dan mengirimkan penghapusan lagi.

    catatan

    Anda mungkin harus mengulangi proses ini beberapa kali, tergantung pada informasi yang dikembalikan oleh layanan. Misalnya, peran terkait layanan Anda mungkin menggunakan enam sumber daya dan layanan Anda mungkin akan mengembalikan informasi mengenai lima di antaranya. Jika Anda membersihkan lima sumber daya dan mengirim peran untuk penghapusan lagi, penghapusan tersebut gagal dan layanan melaporkan sumber daya yang tersisa. Layanan mungkin mengembalikan semua sumber daya, beberapa di antaranya, atau tidak melaporkan sumber daya apa pun. Untuk mempelajari cara membersihkan sumber daya untuk layanan yang tidak melaporkan sumber daya, lihat AWS layanan yang bekerja dengan IAM. Cari layanan Anda dalam tabel, dan pilih tautan Ya untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut