Menggunakan peran terkait layanan untuk API Gateway - APIGerbang Amazon
Izin peran terkait layanan untuk API GatewayMembuat peran terkait layanan untuk API GatewayMengedit peran terkait layanan untuk API GatewayMenghapus peran terkait layanan untuk API GatewayWilayah yang Didukung untuk peran terkait layanan API GatewayPembaruan kebijakan

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk API Gateway

Amazon API Gateway menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke API Gateway. Peran terkait layanan telah ditentukan sebelumnya oleh API Gateway dan menyertakan semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan API Gateway lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. API Gateway mendefinisikan izin dari peran terkait layanan, dan kecuali ditentukan lain, hanya API Gateway yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya API Gateway Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, silakan lihat Layanan AWS yang bisa digunakan dengan IAM dan carilah layanan yang memiliki opsi Ya di kolom Peran Terkait Layanan. Pilih Ya dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran terkait layanan untuk API Gateway

API Gateway menggunakan peran terkait layanan bernama AWSServiceRoleForAPIGateway— Memungkinkan API Gateway mengakses Elastic Load Balancing, Amazon Data Firehose, dan sumber daya layanan lainnya atas nama Anda.

Peran AWSServiceRoleForAPIGateway terkait layanan mempercayai layanan berikut untuk mengambil peran:

  • ops.apigateway.amazonaws.com

Kebijakan izin peran memungkinkan API Gateway menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "elasticloadbalancing:AddListenerCertificates",
                "elasticloadbalancing:RemoveListenerCertificates",
                "elasticloadbalancing:ModifyListener",
                "elasticloadbalancing:DescribeListeners",
                "elasticloadbalancing:DescribeLoadBalancers",
                "xray:PutTraceSegments",
                "xray:PutTelemetryRecords",
                "xray:GetSamplingTargets",
                "xray:GetSamplingRules",
                "logs:CreateLogDelivery",
                "logs:GetLogDelivery",
                "logs:UpdateLogDelivery",
                "logs:DeleteLogDelivery",
                "logs:ListLogDeliveries",
                "servicediscovery:DiscoverInstances"
            ],
            "Resource": [
                "*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/amazon-apigateway-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "acm:DescribeCertificate",
                "acm:GetCertificate"
            ],
            "Resource": "arn:aws:acm:*:*:certificate/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateNetworkInterfacePermission",
            "Resource": "arn:aws:ec2:*:*:network-interface/*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": "arn:aws:ec2:*:*:network-interface/*",
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "Owner",
                        "VpcLinkId"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface",
                "ec2:AssignPrivateIpAddresses",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterfacePermission",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeAvailabilityZones",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:DescribeVpcs",
                "ec2:DescribeNetworkInterfacePermissions",
                "ec2:UnassignPrivateIpAddresses",
                "ec2:DescribeSubnets",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "servicediscovery:GetNamespace",
            "Resource": "arn:aws:servicediscovery:*:*:namespace/*"
        },
        {
            "Effect": "Allow",
            "Action": "servicediscovery:GetService",
            "Resource": "arn:aws:servicediscovery:*:*:service/*"
        }
    ]
}

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi lebih lanjut, lihat Izin Peran Tertaut Layanan di Panduan Pengguna IAM.

Membuat peran terkait layanan untuk API Gateway

Anda tidak perlu membuat peran tertaut layanan secara manual. Saat Anda membuat API, nama domain kustom, atau tautan VPC di, API Gateway AWS Management Console AWS CLI, atau AWS API, API Gateway membuat peran terkait layanan untuk Anda.

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat API, nama domain kustom, atau tautan VPC, API Gateway membuat peran terkait layanan untuk Anda lagi.

Mengedit peran terkait layanan untuk API Gateway

API Gateway tidak memungkinkan Anda mengedit peran AWSServiceRoleForAPIGateway terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, silakan lihat Mengedit peran tertaut layanan dalam Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk API Gateway

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran tertaut layanan, sebaiknya Anda menghapus peran tersebut. Dengan demikian, Anda tidak memiliki entitas tidak terpakai yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

catatan

Jika layanan API Gateway menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus sumber daya API Gateway yang digunakan oleh AWSServiceRoleForAPIGateway

  1. Buka konsol API Gateway di https://console.aws.amazon.com/apigateway/.

  2. Arahkan ke API, nama domain kustom, atau tautan VPC yang menggunakan peran terkait layanan.

  3. Gunakan konsol untuk menghapus sumber daya.

  4. Ulangi prosedur untuk menghapus semua API, nama domain khusus, atau tautan VPC yang menggunakan peran terkait layanan.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForAPIGateway terkait layanan. Untuk informasi selengkapnya, silakan lihat Menghapus Peran Terkait Layanan di Panduan Pengguna IAM.

Wilayah yang Didukung untuk peran terkait layanan API Gateway

API Gateway mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk informasi selengkapnya, lihat Titik Akhir AWS Layanan.

Pembaruan API Gateway ke kebijakan AWS terkelola

Lihat detail tentang pembaruan kebijakan AWS terkelola untuk API Gateway sejak layanan ini mulai melacak perubahan ini. Untuk peringatan otomatis tentang perubahan pada halaman ini, berlangganan umpan RSS di halaman riwayat Dokumen API Gateway.

Perubahan Deskripsi Tanggal

Menambahkan acm:GetCertificate dukungan pada AWSServiceRoleForAPIGateway kebijakan.

AWSServiceRoleForAPIGatewayKebijakan ini sekarang menyertakan izin untuk memanggil tindakan ACM GetCertificate API.

 12 Juli 2021

API Gateway mulai melacak perubahan

API Gateway mulai melacak perubahan untuk kebijakan AWS terkelolanya.

 12 Juli 2021