Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran terkait layanan untuk Amazon FSx
Amazon FSx untuk Windows File Server menggunakan AWS Identity and Access Management (IAM) peran terkait layanan. Peran terkait layanan adalah jenis peran unik yang ditautkan langsung ke Amazon. IAM FSx Peran terkait layanan telah ditentukan sebelumnya oleh Amazon FSx dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.
Peran terkait layanan membuat pengaturan Amazon FSx lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon FSx mendefinisikan izin peran terkait layanannya, dan kecuali ditentukan lain, hanya Amazon yang FSx dapat mengambil perannya. Izin yang ditetapkan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas lain mana pun. IAM
Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi FSx sumber daya Amazon Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS Layanan yang Bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.
Izin peran terkait layanan untuk Amazon FSx
Amazon FSx menggunakan peran terkait layanan bernama AWSServiceRoleForAmazonFSx — Yang melakukan tindakan tertentu di akun Anda, seperti membuat Antarmuka Jaringan Elastis untuk sistem file Anda di akun Anda. VPC
Kebijakan izin peran memungkinkan Amazon FSx menyelesaikan tindakan berikut pada semua AWS sumber daya yang berlaku:
Anda tidak dapat melampirkan A mazonFSx ServiceRolePolicy ke IAM entitas Anda. Kebijakan ini dilampirkan pada peran terkait layanan yang memungkinkan Anda FSx mengelola AWS sumber daya atas nama Anda. Untuk informasi selengkapnya, lihat Menggunakan peran terkait layanan untuk Amazon FSx.
Untuk pembaruan kebijakan ini, lihat AmazonF SxServiceRolePolicy
Kebijakan ini memberikan izin administratif yang memungkinkan FSx untuk mengelola AWS sumber daya atas nama pengguna.
Detail izin
Izin mazonFSx ServiceRolePolicy peran A ditentukan oleh kebijakan mazonFSx ServiceRolePolicy AWS terkelola A. A mazonFSx ServiceRolePolicy memiliki izin berikut:
catatan
A mazonFSx ServiceRolePolicy digunakan oleh semua jenis sistem FSx file Amazon; beberapa izin yang tercantum mungkin tidak berlaku FSx untuk Windows.
-
ds— Memungkinkan FSx untuk melihat, mengotorisasi, dan tidak mengotorisasi aplikasi di direktori Anda. AWS Directory Service -
ec2— Memungkinkan FSx untuk melakukan hal berikut:Melihat, membuat, dan memisahkan antarmuka jaringan yang terkait dengan sistem FSx file Amazon.
Lihat satu atau beberapa alamat IP Elastis yang terkait dengan sistem FSx file Amazon.
Lihat AmazonVPCs, grup keamanan, dan subnet yang terkait dengan sistem FSx file Amazon.
Untuk memberikan validasi grup keamanan yang ditingkatkan dari semua grup keamanan yang dapat digunakan dengan VPC file.
Buat izin bagi pengguna AWS yang berwenang untuk melakukan operasi tertentu pada antarmuka jaringan.
-
cloudwatch— Memungkinkan FSx untuk mempublikasikan titik data metrik ke CloudWatch bawah FSx namespace AWS/. -
route53— Memungkinkan FSx untuk mengaitkan Amazon VPC dengan zona host pribadi. -
logs— Memungkinkan FSx untuk mendeskripsikan dan menulis ke aliran CloudWatch log Log. Ini agar pengguna dapat mengirim log audit akses file untuk sistem file Windows File Server ke aliran CloudWatch Log. FSx -
firehose— Memungkinkan FSx untuk mendeskripsikan dan menulis ke aliran pengiriman Amazon Data Firehose. Ini agar pengguna dapat mempublikasikan log audit akses file untuk sistem file Windows File Server ke aliran pengiriman Amazon Data Firehose. FSx
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
Setiap pembaruan untuk kebijakan ini dijelaskan dalamPembaruan Amazon FSx ke AWS kebijakan terkelola.
Anda harus mengonfigurasi izin untuk mengizinkan IAM entitas (seperti pengguna, grup, atau peran) membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Izin Peran Tertaut Layanan di Panduan Pengguna. IAM
Membuat peran terkait layanan untuk Amazon FSx
Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat sistem file di AWS Management Console, Amazon IAMCLI, atau IAMAPI, Amazon FSx membuat peran terkait layanan untuk Anda.
penting
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang disupport oleh peran ini. Untuk mempelajari lebih lanjut, lihat Peran Baru Muncul di IAM Akun Saya.
Jika Anda menghapus peran tertaut layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat sistem file, Amazon FSx membuat peran terkait layanan untuk Anda lagi.
Mengedit peran terkait layanan untuk Amazon FSx
Amazon FSx tidak mengizinkan Anda mengedit peran terkait layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat mengedit deskripsi peran menggunakanIAM. Untuk informasi selengkapnya, lihat Mengedit Peran Tertaut Layanan di IAMPanduan Pengguna.
Menghapus peran terkait layanan untuk Amazon FSx
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Namun, Anda harus menghapus semua sistem file Anda sebelum Anda dapat menghapus peran tertaut layanan secara manual.
catatan
Jika FSx layanan Amazon menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
Untuk menghapus peran terkait layanan secara manual menggunakan IAM
Gunakan IAM konsol, IAMCLI, atau IAM API untuk menghapus peran terkait layanan. Untuk informasi selengkapnya, lihat Menghapus Peran Tertaut Layanan di Panduan Pengguna. IAM
Wilayah yang didukung untuk peran FSx terkait layanan Amazon
Amazon FSx mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat Wilayah dan Titik Akhir AWS.
