Izin peran terkait layanan Membuat Peran Terkait Layanan (IAM)Mengedit Deskripsi Peran Terkait Layanan Menghapus Peran Tertaut Layanan untuk MemoryDB

Menggunakan Peran Tertaut Layanan untuk MemoryDB

MemoryDB menggunakan peran AWS Identity and Access Management terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke AWS layanan, seperti MemoryDB. Peran terkait layanan MemoryDB telah ditentukan sebelumnya oleh MemoryDB. Peran tersebut menyertakan semua izin yang diperlukan layanan untuk memanggil layanan AWS atas nama klaster Anda.

Peran terkait layanan membuat pengaturan MemoryDB lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Peran sudah ada dalam AWS akun Anda tetapi ditautkan ke kasus penggunaan MemoryDB dan memiliki izin yang telah ditentukan sebelumnya. Hanya MemoryDB yang dapat mengambil peran ini, dan hanya peran ini yang dapat menggunakan kebijakan izin yang telah ditentukan sebelumnya. Anda dapat menghapus peran tersebut hanya setelah pertama kali menghapus sumber dayanya yang terkait. Ini melindungi sumber daya MemoryDB Anda karena Anda tidak dapat secara tidak sengaja menghapus izin yang diperlukan untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat Layanan AWS yang bisa digunakan dengan IAM dan carilah layanan yang memiliki opsi Ya di kolom Peran Terkait Layanan. Pilih Ya bersama tautan untuk melihat dokumentasi peran tertaut layanan untuk layanan tersebut.

Daftar Isi

Izin Peran Tertaut Layanan untuk MemoryDB

MemoryDB menggunakan peran terkait layanan bernama AWSServiceRoleForMemoryDB- Kebijakan ini memungkinkan MemoryDB mengelola AWS sumber daya atas nama Anda sebagaimana diperlukan untuk mengelola cluster Anda.

Kebijakan izin peran AWSServiceRoleForMemoryDB terkait layanan memungkinkan MemoryDB menyelesaikan tindakan berikut pada sumber daya yang ditentukan:


{
        "Version": "2012-10-17",
        "Statement": [
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateTags"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:CreateAction": "CreateNetworkInterface"
                    },
                    "ForAllValues:StringEquals": {
                        "aws:TagKeys": [
                            "AmazonMemoryDBManaged"
                        ]
                    }
                }
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:CreateNetworkInterface"
                ],
                "Resource": [
                    "arn:aws:ec2:*:*:network-interface/*",
                    "arn:aws:ec2:*:*:subnet/*",
                    "arn:aws:ec2:*:*:security-group/*"
                ]
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:network-interface/*",
                "Condition": {
                    "StringEquals": {
                        "ec2:ResourceTag/AmazonMemoryDBManaged": "true"
                    }
                }
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DeleteNetworkInterface",
                    "ec2:ModifyNetworkInterfaceAttribute"
                ],
                "Resource": "arn:aws:ec2:*:*:security-group/*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "ec2:DescribeSecurityGroups",
                    "ec2:DescribeNetworkInterfaces",
                    "ec2:DescribeAvailabilityZones",
                    "ec2:DescribeSubnets",
                    "ec2:DescribeVpcs"
                ],
                "Resource": "*"
            },
            {
                "Effect": "Allow",
                "Action": [
                    "cloudwatch:PutMetricData"
                ],
                "Resource": "*",
                "Condition": {
                    "StringEquals": {
                        "cloudwatch:namespace": "AWS/MemoryDB"
                    }
                }
            }
        ]
    }

Untuk informasi selengkapnya, lihat AWS kebijakan terkelola: MemoryDB ServiceRolePolicy.

Untuk mengizinkan entitas IAM membuat peran terkait AWSServiceRoleForMemoryDB layanan

Tambahkan pernyataan kebijakan berikut ini ke izin untuk entitas IAM:


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

Untuk mengizinkan entitas IAM menghapus peran terkait AWSServiceRoleForMemoryDB layanan

Tambahkan pernyataan kebijakan berikut ini ke izin untuk entitas IAM:


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/memorydb.amazonaws.com/AWSServiceRoleForMemoryDB*",
    "Condition": {"StringLike": {"iam:AWS ServiceName": "memorydb.amazonaws.com"}}
}

Atau, Anda dapat menggunakan kebijakan AWS terkelola untuk menyediakan akses penuh ke MemoryDB.

Membuat Peran Terkait Layanan (IAM)

Anda dapat membuat peran terkait layanan menggunakan konsol IAM, CLI, atau API.

Membuat Peran Terkait Layanan (Konsol IAM)

Anda dapat menggunakan konsol IAM untuk membuat peran terkait layanan.

Untuk membuat peran terkait layanan (konsol)

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi kiri konsol IAM, pilih Peran. Kemudian pilih Buat peran baru.
Di bagian Pilih jenis entitas tepercaya, pilih Layanan AWS .
Di bawah Atau pilih layanan untuk melihat kasus penggunaannya, pilih MemoryDB.
Pilih Berikutnya: Izin.
Di bagian Nama kebijakan, perhatikan bahwa MemoryDBServiceRolePolicy diperlukan untuk peran ini. Pilih Selanjutnya: Tag.
Perhatikan bahwa tag tidak didukung untuk peran Tertaut-Layanan. Pilih Selanjutnya: Tinjau.
(Opsional) Untuk Deskripsi peran, edit deskripsi untuk peran terkait layanan baru.
Tinjau peran, lalu pilih Buat peran.

Membuat Peran Terkait Layanan (CLI IAM)

Anda dapat menggunakan operasi IAM dari AWS Command Line Interface untuk membuat peran terkait layanan. Peran ini dapat mencakup kebijakan kepercayaan dan kebijakan terkait yang diperlukan oleh layanan untuk mengambil peran tersebut.

Untuk membuat peran terkait layanan (CLI)

Gunakan operasi berikut:


$ aws iam create-service-linked-role --aws-service-name memorydb.amazonaws.com

Membuat Peran Terkait Layanan (API IAM)

Anda dapat menggunakan API IAM untuk membuat peran terkait layanan. Peran ini dapat berisi kebijakan kepercayaan dan kebijakan terkait yang diperlukan oleh layanan untuk mengambil peran tersebut.

Untuk membuat peran terkait layanan (API)

Gunakan panggilan API CreateServiceLinkedRole. Dalam permintaan, sebutkan nama layanan memorydb.amazonaws.com.

Mengedit Deskripsi Peran Tertaut Layanan untuk MemoryDB

MemoryDB tidak memungkinkan Anda untuk mengedit peran terkait AWSServiceRoleForMemoryDB layanan. Setelah Anda membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting Deskripsi peran menggunakan IAM.

Mengedit Deskripsi Peran Terkait Layanan (Konsol IAM)

Anda dapat menggunakan konsol IAM untuk mengedit deskripsi peran terkait layanan.

Untuk mengedit deskripsi peran terkait layanan (konsol)

Di panel navigasi kiri konsol IAM, pilih Peran.
Pilih nama peran yang akan diubah.
Di ujung kanan Deskripsi peran, pilih Edit.
Masukkan deskripsi baru di kotak, lalu pilih Simpan.

Mengedit Deskripsi Peran Terkait Layanan (CLI IAM)

Anda dapat menggunakan operasi IAM dari AWS Command Line Interface untuk mengedit deskripsi peran terkait layanan.

Untuk mengubah deskripsi peran terkait layanan (CLI)

(Opsional) Untuk melihat deskripsi saat ini untuk peran, gunakan AWS CLI untuk operasi get-role IAM.
```
$ aws iam get-role --role-name AWSServiceRoleForMemoryDB
```
Gunakan nama peran, bukan ARN, untuk mengacu ke peran itu dengan operasi CLI. Misalnya, jika peran memiliki ARN berikut: arn:aws:iam::123456789012:role/myrole, peran akan dirujuk sebagai myrole.

Untuk memperbarui deskripsi peran terkait layanan, gunakan operasi AWS CLI untuk IAM. update-role-description

Untuk Linux, macOS, atau Unix:


$ aws iam update-role-description \
    --role-name AWSServiceRoleForMemoryDB \
    --description "new description"

Untuk Windows:


$ aws iam update-role-description ^
    --role-name AWSServiceRoleForMemoryDB ^
    --description "new description"

Mengedit Deskripsi Peran Terkait Layanan (API IAM)

Anda dapat menggunakan API IAM untuk mengedit deskripsi peran terkait layanan.

Untuk mengubah deskripsi peran terkait layanan (API)

(Opsional) Untuk melihat deskripsi peran saat ini, gunakan operasi API IAM GetRole.


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &AUTHPARAMS

Untuk memperbarui deskripsi peran, gunakan operasi API IAM UpdateRoleDescription.


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AWSServiceRoleForMemoryDB
   &Version=2010-05-08
   &Description="New description"

Menghapus Peran Tertaut Layanan untuk MemoryDB

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami merekomendasikan Anda menghapus peran tersebut. Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Namun, Anda harus membersihkan peran terkait layanan sebelum dapat menghapusnya.

MemoryDB tidak menghapus peran terkait layanan untuk Anda.

Membersihkan Peran Terkait Layanan

Sebelum Anda dapat menggunakan IAM untuk menghapus peran terkait layanan, konfirmasikan terlebih dahulu bahwa peran tersebut tidak memiliki sumber daya (kluster) yang terkait dengannya.

Untuk memastikan peran terkait layanan memiliki sesi aktif di konsol IAM

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi kiri konsol IAM, pilih Peran. Kemudian pilih nama (bukan kotak centang) AWSServiceRoleForMemoryDB peran.
Di halaman Ringkasan untuk peran yang dipilih, pilih tab Penasihat Akses.
Di tab Penasihat Akses, ‍tinjau aktivitas terbaru untuk peran terkait layanan tersebut.

Untuk menghapus sumber daya MemoryDB yang membutuhkan AWSServiceRoleForMemoryDB (konsol)

Untuk menghapus klaster, lihat referensi berikut:

Menghapus Peran Terkait Layanan (Konsol IAM)

Anda dapat menggunakan konsol IAM untuk menghapus sebuah peran terkait layanan.

Untuk menghapus peran terkait layanan (konsol)

Masuk ke AWS Management Console dan buka konsol IAM di https://console.aws.amazon.com/iam/.
Di panel navigasi kiri konsol IAM, pilih Peran. Kemudian, pilih kotak centang di sebelah nama peran yang ingin dihapus, bukan nama atau baris itu sendiri.
Untuk Tindakan peran di bagian atas halaman, pilih Hapus peran.
Di halaman konfirmasi, tinjau data layanan yang terakhir diakses, yang menunjukkan kapan masing-masing peran yang dipilih terakhir mengakses AWS layanan. Hal ini membantu Anda mengonfirmasi aktif tidaknya peran tersebut saat ini. Jika Anda ingin melanjutkan, pilih Ya, Hapus guna mengirimkan peran terkait layanan untuk penghapusan.
Perhatikan notifikasi konsol IAM untuk memantau progres penghapusan peran terkait layanan. Karena penghapusan peran terkait layanan IAM bersifat asinkron, setelah Anda mengirimkan peran tersebut untuk penghapusan, tugas penghapusan dapat berhasil atau gagal. Jika tugas tersebut gagal, Anda dapat memilih Lihat detail atau Lihat Sumber Daya dari notifikasi untuk mempelajari alasan gagalnya penghapusan.

Menghapus Peran Terkait Layanan (CLI IAM)

Anda dapat menggunakan operasi IAM dari AWS Command Line Interface untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan (CLI)

Jika Anda tidak tahu nama peran terkait layanan yang ingin dihapus, masukkan perintah berikut. Perintah ini menampilkan daftar peran dan Amazon Resource Name (ARN) di akun Anda.
```
$ aws iam get-role --role-name role-name
```
Gunakan nama peran, bukan ARN, untuk merujuk ke peran dengan operasi CLI. Misalnya, jika peran memiliki ARN arn:aws:iam::123456789012:role/myrole, peran akan dirujuk sebagai myrole.
Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap deletion-task-id dari tanggapan untuk memeriksa status tugas penghapusan. Masukkan perintah berikut untuk mengirimkan permintaan penghapusan peran terkait layanan.
```
$ aws iam delete-service-linked-role --role-name role-name
```
Masukkan perintah berikut untuk memeriksa status tugas penghapusan.
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.

Menghapus Peran Terkait Layanan (API IAM)

Anda dapat menggunakan API IAM untuk menghapus peran terkait layanan.

Untuk menghapus peran terkait layanan (API)

Untuk mengirimkan permintaan penghapusan untuk peran terkait layanan, panggil DeleteServiceLinkedRole. Di permintaan tersebut, tentukan nama peran.

Karena peran terkait layanan tidak dapat dihapus jika sedang digunakan atau memiliki sumber daya terkait, Anda harus mengirimkan permintaan penghapusan. Permintaan tersebut dapat ditolak jika kondisi ini tidak terpenuhi. Anda harus menangkap DeletionTaskId dari tanggapan untuk memeriksa status tugas penghapusan.
Untuk memeriksa status penghapusan, panggil GetServiceLinkedRoleDeletionStatus. Di permintaan tersebut, tentukan DeletionTaskId.

Status tugas penghapusan dapat berupa NOT_STARTED, IN_PROGRESS, SUCCEEDED, atau FAILED. Jika penghapusan gagal, panggilan akan mengembalikan alasan kegagalan panggilan agar Anda dapat memecahkan masalah.

Awas Javascript dinonaktifkan atau tidak tersedia di browser Anda.

Untuk menggunakan Dokumentasi AWS, Javascript harus diaktifkan. Lihat halaman Bantuan browser Anda untuk petunjuk.

Konvensi Dokumen

Izin tingkat sumber daya

AWS kebijakan terkelola