Autorizzazioni del ruolo collegato ai servizi Creazione di un ruolo collegato ai servizi (IAM)Modifica della descrizione di un ruolo collegato ai servizi Eliminazione di un ruolo collegato ai servizi per Amazon ElastiCache

Utilizzo di ruoli collegati ai servizi per Amazon ElastiCache

Amazon ElastiCache utilizza ruoli collegati ai servizi di AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a un servizio AWS, come Amazon ElastiCache. I ruoli collegati al servizio di Amazon ElastiCache sono predefiniti da Amazon ElastiCache. Includono tutte le autorizzazioni necessarie al servizio per richiamare servizi AWS per conto dei cluster.

Un ruolo collegato ai servizi semplifica la configurazione di Amazon ElastiCache perché permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. I ruoli sono già presenti nel tuo account AWS ma sono collegati ai casi d'uso di Amazon ElastiCache e dispongono di autorizzazioni predefinite. Solo Amazon ElastiCache può assumere questi ruoli e solo questi ruoli possono usare la policy delle autorizzazioni predefinite. È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Amazon ElastiCache poiché impedisce la rimozione involontaria delle necessarie autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruolo associato ai servizi. Scegliere un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Indice

Autorizzazioni del ruolo collegato ai servizi per Amazon ElastiCache

Autorizzazioni per creare un ruolo collegato ai servizi

Per consentire a un'entità IAM di creare il ruolo collegato ai servizi AWSServiceRoleForElastiCache

Aggiungi la seguente istruzione di policy alle autorizzazioni per l'entità IAM.


{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWSServiceRoleForElastiCache*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "elasticache.amazonaws.com"}}
}

Per consentire a un'entità IAM di eliminare il ruolo collegato ai servizi AWSServiceRoleForElastiCache

Aggiungi la seguente istruzione di policy alle autorizzazioni per l'entità IAM.


{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWSServiceRoleForElastiCache*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "elasticache.amazonaws.com"}}
}

In alternativa, è possibile utilizzare una policy gestita da AWS per fornire l'accesso completo ad Amazon ElastiCache.

Creazione di un ruolo collegato ai servizi (IAM)

È possibile creare un ruolo collegato ai servizi utilizzando la console di IAM, la CLI o l'API.

Creazione di un ruolo collegato ai servizi (Console di IAM)

Puoi utilizzare la console IAM per creare un ruolo collegato ai servizi.

Come creare un ruolo collegato ai servizi (console)

Accedi alla AWS Management Consolee apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione della console IAM seleziona Roles (Ruoli). Quindi seleziona Create new role (Crea nuovo ruolo).
In Select type of trusted entity (Seleziona tipo di entità attendibile), scegli Service AWS.
In Or select a service to view its use cases (Oppure seleziona un servizio per visualizzarne i casi d'uso), scegli ElastiCache.
Scegli Successivo: Autorizzazioni.
In Policy name (Nome policy), si noti che ElastiCacheServiceRolePolicy è necessario per questo ruolo. Scegli Successivo: Tag.
Si noti che i tag non sono supportati per i ruoli collegati al servizio. Scegliere Next:Review (Successivo:Rivedi).
(Facoltativo) In Role description (Descrizione ruolo) modifica la descrizione per il nuovo ruolo collegato ai servizi.
Rivedere il ruolo e scegliere Crea ruolo.

Creazione di un ruolo collegato ai servizi (CLI di IAM)

È possibile utilizzare le operazioni di IAM da AWS Command Line Interface per creare un ruolo collegato ai servizi. Questo ruolo può includere la policy di attendibilità e le policy inline che il servizio richiede per assumere il ruolo.

Per creare un ruolo collegato ai servizi (CLI)

Attenersi alle operazioni seguenti:


$ aws iam create-service-linked-role --aws-service-name elasticache.amazonaws.com

Creazione di un ruolo collegato ai servizi (API di IAM)

È possibile utilizzare l'API di IAM per creare un ruolo collegato ai servizi. Questo ruolo può contenere la policy di attendibilità e le policy inline che il servizio richiede per assumere il ruolo.

Per creare un ruolo collegato ai servizi (API)

Utilizzare la chiamata API CreateServiceLinkedRole. Nella richiesta, specificare un nome del servizio di elasticache.amazonaws.com.

Modifica della descrizione di un ruolo collegato ai servizi per Amazon ElastiCache

Amazon ElastiCache non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForElastiCache. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM.

Modifica della descrizione di un ruolo collegato ai servizi (console di IAM)

È possibile utilizzare la console di IAM per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (console)

Nel pannello di navigazione della console IAM seleziona Roles (Ruoli).
Scegliere il nome del ruolo da modificare.
Nella parte destra di Role description (Descrizione ruolo), scegliere Edit (Modifica).
Digita una nuova descrizione nella casella e scegli Save (Salva).

Modifica della descrizione di un ruolo collegato ai servizi (CLI di IAM)

È possibile utilizzare le operazioni di IAM dalla AWS Command Line Interface per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (CLI)

(Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizzare la AWS CLI per l'operazione di IAM get-role.
```
$ aws iam get-role --role-name AWSServiceRoleForElastiCache
```
Utilizzare il nome del ruolo, non l'ARN, per fare riferimento ai ruoli con le operazioni CLI. Ad esempio, per fare riferimento a un ruolo il cui ARN è arn:aws:iam::123456789012:role/myrole, puoi usare myrole.

Per aggiornare la descrizione di un ruolo collegato ai servizi, utilizza la AWS CLI per l'operazione di IAM update-role-description.

Per Linux, macOS o Unix:


$ aws iam update-role-description \
    --role-name AWSServiceRoleForElastiCache \
    --description "new description"

Per Windows:


$ aws iam update-role-description ^
    --role-name AWSServiceRoleForElastiCache ^
    --description "new description"

Modifica della descrizione di un ruolo collegato ai servizi (API di IAM)

È possibile utilizzare l'API di IAM per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (API)

(Facoltativo) Per visualizzare la descrizione corrente di un ruolo, utilizzare l'operazione API di IAM GetRole.


https://iam.amazonaws.com/
   ?Action=GetRole
   &RoleName=AWSServiceRoleForElastiCache
   &Version=2010-05-08
   &AUTHPARAMS

Per aggiornare la descrizione di un ruolo, utilizzare l'operazione API di IAM UpdateRoleDescription.


https://iam.amazonaws.com/
   ?Action=UpdateRoleDescription
   &RoleName=AWSServiceRoleForElastiCache
   &Version=2010-05-08
   &Description="New description"

Eliminazione di un ruolo collegato ai servizi per Amazon ElastiCache

Se non è più necessario utilizzare una caratteristicao un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.

Amazon ElastiCache non elimina il ruolo collegato ai servizi per tuo conto.

Pulizia di un ruolo collegato ai servizi

Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, verifica innanzitutto che il ruolo non abbia risorse (cluster o gruppi di replica) associati al ruolo.

Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM

Accedi alla AWS Management Consolee apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione della console IAM seleziona Roles (Ruoli). Quindi, scegli il nome (non la casella di controllo) del ruolo AWSServiceRoleForElastiCache
Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegliere la scheda Access Advisor (Consulente accessi).
Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.

Per eliminare le risorse Amazon ElastiCache che richiedono AWSServiceRoleForElastiCache

Per eliminare un cluster, consultare i seguenti argomenti:
Per eliminare un gruppo di replica, consultare i seguenti argomenti:

Eliminazione di un ruolo collegato ai servizi (console di IAM)

È possibile utilizzare la console IAM per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (console)

Accedi alla AWS Management Consolee apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.
Nel pannello di navigazione della console IAM seleziona Roles (Ruoli). Quindi, seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.
In operazioni Role (Ruolo) nella parte superiore della pagina, seleziona Delete (Elimina) ruolo.
Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona Yes, Delete (Sì, elimina) per richiedere l'eliminazione del ruolo collegato ai servizi.
Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno. Se il task non viene eseguito correttamente, puoi scegliere View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata.

Eliminazione di un ruolo collegato ai servizi (CLI di IAM)

È possibile utilizzare le operazioni di IAM dalla AWS Command Line Interface per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (CLI)

Se non conosci il nome del ruolo collegato ai servizi da eliminare, inserisci il comando seguente: Questo comando elenca i ruoli e i relativi Amazon Resource Name (ARN) nel tuo account.
```
$ aws iam get-role --role-name role-name
```
Utilizzare il nome del ruolo, non l'ARN, per fare riferimento ai ruoli con le operazioni CLI. Ad esempio, per fare riferimento a un ruolo il cui ARN è arn:aws:iam::123456789012:role/myrole, puoi usare myrole.
Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di deletion-task-iddalla risposta per controllare lo stato del task di eliminazione. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, inserire quanto segue:
```
$ aws iam delete-service-linked-role --role-name role-name
```
Inserire quanto segue per verificare lo stato del processo di eliminazione:
```
$ aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Eliminazione di un ruolo collegato ai servizi (API di IAM)

È possibile utilizzare l'API di IAM; per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (API)

Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, chiamare DeleteServiceLinkedRole. Nella richiesta, specifica il nome del ruolo.

Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di DeletionTaskIddalla risposta per controllare lo stato del task di eliminazione.
Chiamare GetServiceLinkedRoleDeletionStatus per controllare lo stato dell'eliminazione. Nella richiesta, specificare il DeletionTaskId.

Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDEDo FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema.

Avvertimento JavaScript è disabilitato o non è disponibile nel tuo browser.

Per usare la documentazione AWS, JavaScript deve essere abilitato. Consulta le pagine della guida del browser per le istruzioni.

Convenzioni dei documenti

Utilizzo delle chiavi di condizione

Riferimento sulle autorizzazioni per l'API di ElastiCache