Menggunakan peran terkait layanan untuk Amazon EFS - Sistem File Elastis Amazon
Izin peran terkait layanan untuk Amazon EFSMembuat peran terkait layanan untuk Amazon EFSMengedit peran terkait layanan untuk Amazon EFSMenghapus peran terkait layanan untuk Amazon EFSWilayah yang Didukung untuk peran terkait layanan Amazon EFS

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk Amazon EFS

Amazon Elastic File System menggunakan peran AWS Identity and Access Management terkait layanan (IAM). Peran terkait layanan Amazon EFS adalah jenis peran IAM unik yang ditautkan langsung ke Amazon EFS. Peran terkait layanan Amazon EFS yang telah ditentukan sebelumnya mencakup izin yang diperlukan layanan untuk memanggil orang lain Layanan AWS atas nama Anda.

Peran terkait layanan membuat pengaturan Amazon EFS lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon EFS mendefinisikan izin peran terkait layanannya, dan hanya Amazon EFS yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran terkait layanan Amazon EFS hanya setelah pertama kali menghapus sistem file Amazon EFS Anda. Ini melindungi sumber daya Amazon EFS Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Peran terkait layanan memungkinkan semua panggilan API terlihat. AWS CloudTrail Ini membantu memantau dan mengaudit persyaratan karena Anda dapat melacak semua tindakan yang dilakukan Amazon EFS atas nama Anda. Untuk informasi selengkapnya, lihat Entri log untuk peran terkait layanan EFS.

Untuk informasi selengkapnya, lihat Izin peran terkait layanan dalam Panduan Pengguna IAM.

Izin peran terkait layanan untuk Amazon EFS

Amazon EFS menggunakan peran terkait layanan yang diberi nama AWSServiceRoleForAmazonElasticFileSystemuntuk memungkinkan Amazon EFS memanggil dan mengelola AWS sumber daya atas nama sistem file EFS Anda.

Peran AWSService RoleForAmazonElasticFileSystem terkait layanan mempercayai elasticfilesystem.amazonaws.com untuk mengambil peran tersebut.

Kebijakan izin peran memungkinkan Amazon EFS menyelesaikan tindakan yang disertakan dalam definisi kebijakan JSON:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "*"
        }
    ]
}
catatan

Anda harus mengonfigurasi izin IAM secara manual AWS KMS saat membuat sistem file EFS baru yang dienkripsi saat istirahat. Untuk mempelajari selengkapnya, lihat Mengenkripsi data saat istirahat.

Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin peran yang terkait dengan layanan dalam Panduan Pengguna IAM.

Membuat peran terkait layanan untuk Amazon EFS

Dalam kebanyakan kasus, Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat target mount atau konfigurasi replikasi untuk sistem file EFS Anda di AWS Management Console, the AWS CLI, atau AWS API, Amazon EFS membuat peran terkait layanan untuk Anda.

Selain itu, jika Anda menghapus ini secara manual service-linked-role, dan kemudian perlu membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran di akun Anda. Saat Anda membuat target pemasangan atau konfigurasi replikasi untuk sistem file EFS Anda, Amazon EFS membuat peran terkait layanan untuk Anda.

Namun, jika Amazon EFS tidak membuat service-linked-role atau jika Anda mulai menggunakan Amazon EFS sebelum mendukung peran terkait layanan, Anda dapat membuat peran terkait layanan secara manual. Untuk petunjuknya, lihat Membuat peran terkait layanan di Panduan Pengguna IAM.

Mengedit peran terkait layanan untuk Amazon EFS

Amazon EFS tidak mengizinkan Anda mengedit peran AWSServiceRoleForAmazonElasticFileSystem terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Memperbarui peran terkait layanan di Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk Amazon EFS

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual. Untuk informasi selengkapnya, lihat Bersihkan sumber daya dan lindungi AWS akun Anda.

catatan

Jika layanan Amazon EFS menggunakan peran saat Anda mencoba menghapus sumber daya, penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSService RoleForAmazonElasticFileSystem terkait layanan. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan dalam Panduan Pengguna IAM.

Wilayah yang Didukung untuk peran terkait layanan Amazon EFS

Amazon EFS mendukung penggunaan peran terkait layanan di semua Wilayah AWS tempat layanan tersedia. Untuk informasi selengkapnya, lihat titik akhir AWS layanan di Panduan Referensi Umum AWS Pengguna.