Utilizzo di ruoli collegati ai servizi per i Resource Groups

AWS Resource Groups utilizza ruoli collegati al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente ai gruppi di risorse. I ruoli collegati ai servizi sono predefiniti dai Resource Groups e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri per tuoServizi AWS conto.

Un ruolo collegato al servizio semplifica la configurazione dei Resource Groups perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Resource Groups definisce le autorizzazioni dei relativi ruoli associati ai servizi e su ciascuno di essi, in modo da garantire che solo il servizio Resource Groups potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consultare Servizi AWS che funzionano con IAM e cercare i servizi che riportano Yes (Sì) nella colonna Service-linked roles (Ruoli collegati ai servizi). Scegli Yes (Sì) in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per i Resource Groups

Resource Groups utilizza il seguente ruolo collegato ai servizi per supportare gli eventi del ciclo di vita del gruppo. Scegli il link sul nome del ruolo per visualizzare il ruolo nella console IAM dopo averlo creato.

• AWSServiceRoleForResourceGroups

Resource Groups utilizza le autorizzazioni di questo ruolo per interrogare iServizi AWS proprietari delle risorse per risolvere il problema dell'appartenenza al gruppo e mantenere il gruppo up-to-date. Consente ai gruppi di risorse di inviare eventi relativi ai servizi al EventBridge servizio Amazon.

Il ruoloAWSServiceRoleForResourceGroups collegato al servizio considera attendibile solo il seguente servizio per assumere il ruolo collegato al servizio:

• resourcegroups.amazonaws.com

Le autorizzazioni associate al ruolo provengono dalla seguente politicaAWS gestita. Scegli il link sul nome della policy per visualizzare la policy nella console IAM.

• AWS Policy gestite da per AWS Resource Groups

Creazione del ruolo collegato al servizio per i Resource Groups

Importante

Questo ruolo collegato al servizio può apparire nell'account, se si completa un'operazione in un altro servizio che richiede le caratteristiche supportate da questo ruolo. Per ulteriori informazioni, consulta Comparsa di un nuovo ruolo nella miaAccount AWS.

Per creare il ruolo collegato al servizio, attiva la funzionalità degli eventi del ciclo di vita del gruppo.

Modifica di un ruolo collegato al servizio per i Resource Groups

Resource Groups non consente di modificare il ruolo AWSServiceRoleForResourceGroups collegato al servizio. Dopo aver creato un ruolo collegato al servizio, non puoi modificarne il nome, perché potrebbero farvi riferimento diverse entità. Puoi tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato al servizio per i Resource Groups

Puoi eliminare il ruolo collegato al servizio solo dopo aver disattivato la funzionalità degli eventi del ciclo di vita del gruppo.

Importante

• AWSimpedisce di rimuovere il ruolo collegato al servizio finché non disattivi per la prima volta la funzionalità degli eventi del ciclo di vita del gruppo che lo ha creato.

• Ti consigliamo di non eliminare il ruolo collegato al servizio fintanto che nel tuo sono presenti gruppi di risorseAccount AWS. Il servizio Resource Groups non può interagire con altri utentiServizi AWS per gestire i tuoi gruppi se elimini questo ruolo.

Eliminazione manuale del ruolo collegato ai servizi

Utilizzare la console IAM, AWS CLI, la AWS o l'API per eliminare i ruoli collegati ai servizi AWSServiceRoleForResourceGroups. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Console

Per eliminare il ruolo collegato al servizio Resource Groups

1. Apri la console IAM nella pagina Ruoli.

2. Trova il ruolo denominato AWSServiceRoleForResourceGroups e seleziona la casella di controllo accanto ad esso.

3. Scegli Delete (Elimina).

4. Conferma l'intenzione di eliminare il ruolo inserendo il nome del ruolo nella casella, quindi scegli Elimina.

Il ruolo scompare dall'elenco di ruoli nella console IAM.

AWS CLI

Per eliminare il ruolo collegato al servizio Resource Groups

Per eliminare il ruolo, immetti il seguente comando con i parametri esattamente come mostrato. Non sostituire nessuno dei valori.

$ aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForResourceGroups
{
    "DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}

Il comando restituisce un ID attività. L'eliminazione effettiva del ruolo avviene in modo asincrono. Puoi verificare lo stato dell'eliminazione del ruolo fornendo l'identificatore di attività fornito alAWS CLI comando seguente.

$ aws iam get-service-linked-role-deletion-status \
    --deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
    "Status": "SUCCEEDED"
}

Regioni supportate per i ruoli collegati ai servizi

Resource Groups supporta l'utilizzo di ruoli collegati ai servizi in tutti iRegioni AWS luoghi in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.