Menggunakan peran tertaut layanan untuk Amazon MQ - Amazon MQ

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran tertaut layanan untuk Amazon MQ

Amazon MQ menggunakan peran tertaut layanan AWS Identity and Access Management (IAM). Peran tertaut layanan adalah tipe IAM role unik yang ditautkan langsung ke Amazon MQ. Peran tertaut layanan telah ditentukan sebelumnya oleh Amazon MQ dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan AWS lainnya atas nama Anda.

Peran tertaut layanan mempermudah pengaturan Amazon MQ karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon MQ menentukan izin dari peran tertaut layanan, kecuali jika ditentukan lain, hanya Amazon MQ yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran yang terhubung dengan layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini dapat melindungi sumber daya Amazon MQ karena Anda tidak dapat secara ceroboh menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang support peran tertaut layanan, lihat AWS layanan yang bekerja dengan IAM dan mencari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran tertaut layanan untuk Amazon MQ

Amazon MQ menggunakan peran terkait layanan bernama AWSServiceRoleForAmazonMQ – Amazon MQ menggunakan peran terkait layanan ini untuk memanggil layanan AWS atas nama Anda.

Peran terkait layanan AWSServiceRoleForAmazonMQ memercayai layanan berikut untuk menjalankan peran:

  • mq.amazonaws.com

Amazon MQ menggunakan kebijakan izin AmazonMQServiceRolePolicy, yang terlampir ke peran terkait layanan AWSServiceRoleForAmazonMQ untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan: ec2:CreateVpcEndpoint pada sumber daya vpc.

  • Tindakan: ec2:CreateVpcEndpoint pada sumber daya subnet.

  • Tindakan: ec2:CreateVpcEndpoint pada sumber daya security-group.

  • Tindakan: ec2:CreateVpcEndpoint pada sumber daya vpc-endpoint.

  • Tindakan: ec2:DescribeVpcEndpoints pada sumber daya vpc.

  • Tindakan: ec2:DescribeVpcEndpoints pada sumber daya subnet.

  • Tindakan: ec2:CreateTags pada sumber daya vpc-endpoint.

  • Tindakan: logs:PutLogEvents pada sumber daya log-group.

  • Tindakan: logs:DescribeLogStreams pada sumber daya log-group.

  • Tindakan: logs:DescribeLogGroups pada sumber daya log-group.

  • Tindakan: CreateLogStream pada sumber daya log-group.

  • Tindakan: CreateLogGroup pada sumber daya log-group.

Saat Anda membuat broker Amazon MQ for RabbitMQ, kebijakan izin AmazonMQServiceRolePolicy memungkinkan Amazon MQ melakukan tugas berikut atas nama Anda.

  • Membuat VPC endpoint untuk broker menggunakan Amazon VPC, subnet, dan grup keamanan yang Anda berikan. Anda dapat menggunakan titik akhir yang dibuat untuk broker agar terhubung ke broker melalui konsol manajemen RabbitMQ, API manajemen, atau secara pemrograman.

  • Membuat grup log, dan memublikasikan log broker ke Amazon CloudWatch Logs.

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" ] } ] }

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, menyunting, atau menghapus peran terhubung dengan layanan. Untuk informasi lebih lanjut, lihat Izin Peran yang Terhubung dengan Layanan di Panduan Pengguna IAM.

Membuat peran tertaut layanan untuk Amazon MQ

Anda tidak perlu membuat peran terkait layanan secara manual. Ketika Anda pertama kali membuat broker, Amazon MQ membuat peran terkait layanan untuk memanggil layanan AWS atas nama Anda. Semua broker berikutnya yang Anda buat akan menggunakan peran yang sama dan tidak ada peran baru yang dibuat.

penting

Peran tertaut layanan ini dapat muncul di akun Anda jika Anda telah menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.

Jika Anda menghapus peran terkait layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda.

Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan Amazon MQ. Di AWS CLI atau API AWS, buat peran yang terhubung dengan layanan dengan nama layanan mq.amazonaws.com Untuk informasi lebih lanjut, lihat Membuat peran terkait layanan dalam Panduan Pengguna IAM. Jika Anda menghapus peran yang terhubung dengan layanan ini, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut.

Mengedit peran tertaut layanan untuk Amazon MQ

Amazon MQ tidak mengizinkan Anda untuk mengedit peran tertaut layanan AWSServiceRoleForAmazonMQ. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi lebih lanjut, lihat Mengedit peran terkait layanan dalam Panduan Pengguna IAM.

Menghapus peran tertaut layanan untuk Amazon MQ

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

catatan

Jika layanan Amazon MQ menggunakan peran saat Anda mencoba untuk menghapus sumber daya, maka penghapusan tersebut kemungkinan gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba lagi.

Untuk menghapus sumber daya Amazon MQ yang digunakan oleh AWSServiceRoleForAmazonMQ
  • Menghapus broker Amazon MQ menggunakan AWS Management Console, CLI Amazon MQ, atau API Amazon MQ. Untuk informasi lebih lanjut tentang penghapusan broker, lihat Deleting a broker.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan konsol IAM, AWS CLI, atau API AWS untuk menghapus peran terkait layanan AWSServiceRoleForAmazonMQ. Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan dalam Panduan Pengguna IAM.

Wilayah yang didukung untuk peran terkait layanan Amazon MQ

Amazon MQ mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat Wilayah dan titik akhir AWS.

Nama wilayah Identitas wilayah Dukungan di Amazon MQ
US East (N. Virginia) us-east-1 Ya
US East (Ohio) us-east-2 Ya
US West (N. California) us-west-1 Ya
US West (Oregon) us-west-2 Ya
Asia Pacific (Mumbai) ap-south-1 Ya
Asia Pacific (Osaka) ap-northeast-3 Ya
Asia Pacific (Seoul) ap-northeast-2 Ya
Asia Pacific (Singapore) ap-southeast-1 Ya
Asia Pacific (Sydney) ap-southeast-2 Ya
Asia Pacific (Tokyo) ap-northeast-1 Ya
Canada (Central) ca-sentral-1 Ya
Eropa (Frankfurt) eu-central-1 Ya
Eropa (Irlandia) eu-west-1 Ya
Eropa (London) eu-west-2 Ya
Europe (Paris) eu-west-3 Ya
South America (São Paulo) sa-east-1 Ya
AWS GovCloud (US) us-gov-west-1 Tidak