Menggunakan Peran Tertaut Layanan Amazon EFS

Amazon Elastic File System menggunakanAWS Identity and Access Management(IAM)peran yang terhubung dengan layanan. Peran tertaut layanan Amazon EFS adalah tipe IAM role unik yang ditautkan langsung ke Amazon EFS. Peran tertaut layanan Amazon EFS mencakup izin yang diperlukan oleh layanan untuk memanggil lainnyaLayanan AWSatas nama Anda.

Peran tertaut layanan memudahkan pengaturan Amazon EFS karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon EFS menentukan izin peran tertaut layanannya, dan hanya Amazon EFS yang dapat mengambil peran tersebut. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan Amazon EFS hanya setelah pertama kali menghapus sistem file Amazon EFS Anda. Ini melindungi sumber daya Amazon EFS karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Peran tertaut layanan memungkinkan semua panggilan API dapat dilihat melaluiAWS CloudTrail. Tindakan ini membantu persyaratan pemantauan dan audit karena Anda dapat melacak semua tindakan yang dilakukan Amazon EFS atas nama Anda. Untuk informasi selengkapnya, lihat Log entri untuk Peran Tertaut Layanan EFS.

Izin Peran tertaut layanan untuk Amazon EFS

Amazon EFS menggunakan peran tertaut layanan bernamaAWSServiceRoleForAmazonElasticFileSystemuntuk memungkinkan Amazon EFS menelepon dan mengelolaAWSsumber daya atas nama sistem file EFS Anda.

Peran tertaut layanan AWSServiceRoleForAmazonElasticFileSystem memercayakan layanan berikut untuk mengambil peran tersebut:

• elasticfilesystem.amazonaws.com

Kebijakan izin peran memungkinkan Amazon EFS menyelesaikan tindakan yang disertakan dalam definisi kebijakan JSON:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration"
            ],
            "Resource": "*"
        }
    ]
}

catatan

Anda harus mengkonfigurasi izin IAM secara manualAWS KMSsaat membuat sistem file Amazon EFS baru yang dienkripsi saat istirahat. Untuk mempelajari selengkapnya, lihat Mengenkripsi data saat tidak digunakan.

Membuat Peran Tertaut Layanan untuk Amazon EFS

Anda harus mengonfigurasikan izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat peran tertaut layanan. Lakukan ini dengan menambahkaniam:CreateServiceLinkedRoleizin untuk entitas IAM seperti yang ditunjukkan dalam contoh berikut.

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": [
                "elasticfilesystem.amazonaws.com"
            ]
        }
    }
}

Untuk informasi selengkapnya, lihat Izin Peran Terkait Layanan di Panduan Pengguna IAM.

Anda tidak perlu membuat peran terkait layanan secara manual. Ketika Anda membuat target mount atau konfigurasi replikasi untuk sistem file EFS Anda diAWS Management Console, yangAWS CLI, atauAWSAPI, Amazon EFS membuat peran tertaut layanan untuk Anda.

Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat target pemasangan atau konfigurasi replikasi untuk sistem file EFS Anda, Amazon EFS membuat peran tertaut layanan untuk Anda kembali.

Mengedit Peran Tertaut Layanan untuk Amazon EFS

Amazon EFS tidak mengizinkan Anda untuk mengeditAWSServiceRoleForAmazonElasticFileSystemperan yang terhubung dengan layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi lebih lanjut, lihat Mengedit Peran Tertaut Layanan di Panduan Pengguna IAM.

Menghapus Peran Tertaut Layanan untuk Amazon EFS

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran terkait layanan sebelum menghapusnya secara manual.

catatan

Jika layanan Amazon EFS menggunakan peran saat Anda mencoba untuk menghapus sumber daya, maka penghapusan tersebut kemungkinan gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus sumber daya Amazon EFS yang digunakan oleh AWSServiceRoleForAmazonElasticFileSystem

Selesaikan langkah-langkah berikut untuk menghapus sumber daya Amazon EFS yang digunakan oleh AWSServiceRoleForAmazonElasticFileSystem. Untuk prosedur rinci, lihatLangkah 4: Pembersihan sumber daya dan lindungi sumber daya AndaAWSakun.

1. Pada instans Amazon EC2 Anda, lepaskan sistem file Amazon EFS.

2. Menghapus sistem file Amazon EFS.

3. Hapus grup keamanan khusus untuk sistem file.

   Awas

   Jika Anda menggunakan grup keamanan default untuk virtual private cloud (VPC) Anda,tidakhapus grup keamanan tersebut.

Untuk menghapus peran terkait layanan secara manual menggunakan IAM

Menggunakan konsol IAM,AWS CLI, atauAWSAPI untuk menghapus peran tertaut layanan AWSServiceRoleForAmazonElasticFileSystem. Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan dalam Panduan Pengguna IAM.