Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran tertaut layanan untuk Amazon MQ
Amazon MQ menggunakan peran tertaut layanan AWS Identity and Access Management (IAM). Peran tertaut layanan adalah tipe IAM role unik yang ditautkan langsung ke Amazon MQ. Peran tertaut layanan telah ditentukan sebelumnya oleh Amazon MQ dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan AWS lainnya atas nama Anda.
Peran tertaut layanan mempermudah pengaturan Amazon MQ karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon MQ menentukan izin dari peran tertaut layanan, kecuali jika ditentukan lain, hanya Amazon MQ yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran yang terhubung dengan layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini dapat melindungi sumber daya Amazon MQ karena Anda tidak dapat secara ceroboh menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang support peran tertaut layanan, lihat AWS layanan yang bekerja dengan IAM dan mencari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
Izin peran tertaut layanan untuk Amazon MQ
Amazon MQ menggunakan peran terkait layanan bernama AWSServiceRoleForAmazonMQ – Amazon MQ menggunakan peran terkait layanan ini untuk memanggil layanan AWS atas nama Anda.
Peran terkait layanan AWSServiceRoleForAmazonMQ memercayai layanan berikut untuk menjalankan peran:
-
mq.amazonaws.com
Amazon MQ menggunakan kebijakan izin AmazonMQServiceRolePolicy
-
Tindakan:
ec2:CreateVpcEndpoint
pada sumber dayavpc
. -
Tindakan:
ec2:CreateVpcEndpoint
pada sumber dayasubnet
. -
Tindakan:
ec2:CreateVpcEndpoint
pada sumber dayasecurity-group
. -
Tindakan:
ec2:CreateVpcEndpoint
pada sumber dayavpc-endpoint
. -
Tindakan:
ec2:DescribeVpcEndpoints
pada sumber dayavpc
. -
Tindakan:
ec2:DescribeVpcEndpoints
pada sumber dayasubnet
. -
Tindakan:
ec2:CreateTags
pada sumber dayavpc-endpoint
. -
Tindakan:
logs:PutLogEvents
pada sumber dayalog-group
. -
Tindakan:
logs:DescribeLogStreams
pada sumber dayalog-group
. -
Tindakan:
logs:DescribeLogGroups
pada sumber dayalog-group
. -
Tindakan:
CreateLogStream
pada sumber dayalog-group
. -
Tindakan:
CreateLogGroup
pada sumber dayalog-group
.
Saat Anda membuat broker Amazon MQ for RabbitMQ, kebijakan izin AmazonMQServiceRolePolicy
memungkinkan Amazon MQ melakukan tugas berikut atas nama Anda.
Membuat VPC endpoint untuk broker menggunakan Amazon VPC, subnet, dan grup keamanan yang Anda berikan. Anda dapat menggunakan titik akhir yang dibuat untuk broker agar terhubung ke broker melalui konsol manajemen RabbitMQ, API manajemen, atau secara pemrograman.
Membuat grup log, dan memublikasikan log broker ke Amazon CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" ] } ] }
Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi lebih lanjut, lihat Izin Peran yang Terhubung dengan Layanan di Panduan Pengguna IAM.
Membuat peran tertaut layanan untuk Amazon MQ
Anda tidak perlu membuat peran terkait layanan secara manual. Ketika Anda pertama kali membuat broker, Amazon MQ membuat peran terkait layanan untuk memanggil layanan AWS atas nama Anda. Semua broker berikutnya yang Anda buat akan menggunakan peran yang sama dan tidak ada peran baru yang dibuat.
penting
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda telah menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.
Jika Anda menghapus peran terkait layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda.
Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan Amazon MQ. Di AWS CLI atau API AWS, buat peran yang terhubung dengan layanan dengan nama layanan mq.amazonaws.com
Untuk informasi lebih lanjut, lihat Membuat peran terkait layanan dalam Panduan Pengguna IAM. Jika Anda menghapus peran yang terhubung dengan layanan ini, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut.
Mengedit peran tertaut layanan untuk Amazon MQ
Amazon MQ tidak mengizinkan Anda untuk mengedit peran tertaut layanan AWSServiceRoleForAmazonMQ. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi lebih lanjut, lihat Mengedit peran terkait layanan dalam Panduan Pengguna IAM.
Menghapus peran tertaut layanan untuk Amazon MQ
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
catatan
Jika layanan Amazon MQ menggunakan peran saat Anda mencoba untuk menghapus sumber daya, maka penghapusan tersebut kemungkinan gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba lagi.
Untuk menghapus sumber daya Amazon MQ yang digunakan oleh AWSServiceRoleForAmazonMQ
-
Menghapus broker Amazon MQ menggunakan AWS Management Console, CLI Amazon MQ, atau API Amazon MQ. Untuk informasi lebih lanjut tentang penghapusan broker, lihat Deleting a broker.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan konsol IAM, AWS CLI, atau API AWS untuk menghapus peran terkait layanan AWSServiceRoleForAmazonMQ. Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan dalam Panduan Pengguna IAM.
Wilayah yang didukung untuk peran terkait layanan Amazon MQ
Amazon MQ mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat Wilayah dan titik akhir AWS.
Nama wilayah | Identitas wilayah | Dukungan di Amazon MQ |
---|---|---|
US East (N. Virginia) | us-east-1 | Ya |
US East (Ohio) | us-east-2 | Ya |
US West (N. California) | us-west-1 | Ya |
US West (Oregon) | us-west-2 | Ya |
Asia Pacific (Mumbai) | ap-south-1 | Ya |
Asia Pacific (Osaka) | ap-northeast-3 | Ya |
Asia Pacific (Seoul) | ap-northeast-2 | Ya |
Asia Pacific (Singapore) | ap-southeast-1 | Ya |
Asia Pacific (Sydney) | ap-southeast-2 | Ya |
Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
Canada (Central) | ca-sentral-1 | Ya |
Eropa (Frankfurt) | eu-central-1 | Ya |
Eropa (Irlandia) | eu-west-1 | Ya |
Eropa (London) | eu-west-2 | Ya |
Europe (Paris) | eu-west-3 | Ya |
South America (São Paulo) | sa-east-1 | Ya |
AWS GovCloud (US) | us-gov-west-1 | Tidak |