Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Creazione di un ruolo collegato ai servizi
Un ruolo collegato al servizio è un tipo unico di IAM ruolo collegato direttamente a un AWS servizio. I ruoli collegati al servizio sono predefiniti dal servizio e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS Il servizio collegato definisce anche le modalità di creazione, modifica ed eliminazione di un ruolo collegato al servizio. Un servizio può creare o eliminare automaticamente il ruolo. È possibile che ti permetta di creare, modificare o eliminare il ruolo come parte di una procedura guidata o un processo nel servizio. Oppure potrebbe essere necessario utilizzarlo IAM per creare o eliminare il ruolo. Indipendentemente dal metodo, i ruoli collegati ai servizi semplificano la procedura di configurazione di un servizio poiché non dovrai più aggiungere manualmente le autorizzazioni necessarie ai servizi per completare le operazioni per tuo conto.
Nota
Ricorda che i ruoli di servizio sono diversi dai ruoli collegati ai servizi. Un ruolo di servizio è un IAMruolo che un servizio assume per eseguire azioni per conto dell'utente. Un IAM amministratore può creare, modificare ed eliminare un ruolo di servizio dall'internoIAM. Per ulteriori informazioni, vedere Creazione di un ruolo per delegare le autorizzazioni a un utente AWS servizio nella Guida per l'IAMutente. Un ruolo collegato al servizio è un tipo di ruolo di servizio collegato a un. AWS servizio Il servizio può assumere il ruolo per eseguire un'azione per tuo conto. I ruoli collegati al servizio vengono visualizzati nel tuo account Account AWS e sono di proprietà del servizio. Un IAM amministratore può visualizzare, ma non modificare le autorizzazioni per i ruoli collegati al servizio.
Il servizio collegato definisce le autorizzazioni dei relativi ruoli collegati ai servizi e, a meno che non sia stato stabilito diversamente, solo quel servizio può assumere i ruoli. Le autorizzazioni definite includono la politica di fiducia e la politica di autorizzazione e tale politica di autorizzazione non può essere associata a nessun'altra entità. IAM
Prima di poter eliminare i ruoli, devi eliminare le risorse associate. Questa procedura protegge le risorse di perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.
Suggerimento
Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato Sì nella colonna Ruolo collegato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.
Autorizzazioni del ruolo collegato ai servizi
È necessario configurare le autorizzazioni per un'IAMentità (utente o ruolo) per consentire all'utente o al ruolo di creare o modificare il ruolo collegato al servizio.
Nota
Il ruolo ARN per un ruolo collegato al servizio include un responsabile del servizio, indicato nelle politiche seguenti come. SERVICE-NAME.amazonaws.com
Per consentire a un'IAMentità di creare un ruolo specifico collegato al servizio
Aggiungi la seguente politica all'IAMentità che deve creare il ruolo collegato al servizio.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*", "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}} }, { "Effect": "Allow", "Action": [ "iam:AttachRolePolicy", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*" } ] }
Per consentire a un'IAMentità di creare qualsiasi ruolo collegato al servizio
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve creare un ruolo collegato al servizio o qualsiasi ruolo di servizio che includa le politiche necessarie. Questa dichiarazione di politica non consente all'IAMentità di allegare una politica al ruolo.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Per consentire a un'IAMentità di modificare la descrizione di qualsiasi ruolo di servizio
Aggiungi la seguente dichiarazione alla politica di autorizzazione per l'IAMentità che deve modificare la descrizione di un ruolo collegato al servizio o di qualsiasi ruolo di servizio.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Per consentire a un'IAMentità di eliminare un ruolo specifico collegato al servizio
Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve eliminare il ruolo collegato al servizio.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*" }
Per consentire a un'IAMentità di eliminare qualsiasi ruolo collegato al servizio
Aggiungi la seguente dichiarazione alla politica di autorizzazione per l'IAMentità che deve eliminare un ruolo collegato al servizio, ma non un ruolo di servizio.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Per consentire a un'IAMentità di passare un ruolo esistente al servizio
Alcuni AWS servizi consentono di trasferire un ruolo esistente al servizio, anziché creare un nuovo ruolo collegato al servizio. Per eseguire questa operazione, un utente deve disporre delle autorizzazioni per passare il ruolo al servizio. Aggiungi la seguente dichiarazione alla politica delle autorizzazioni per l'IAMentità che deve assegnare un ruolo. Questa istruzione della policy consente anche all'entità di visualizzare un elenco di ruoli da cui è possibile scegliere il ruolo da passare. Per ulteriori informazioni, consulta Concedere a un utente le autorizzazioni per passare un ruolo a un servizio AWS.
{ "Sid": "PolicyStatementToAllowUserToListRoles", "Effect": "Allow", "Action": ["iam:ListRoles"], "Resource": "*" }, { "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole", "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": "arn:aws:iam::account-id:role/my-role-for-XYZ" }
Autorizzazioni indirette con ruoli collegati al servizio
Le autorizzazioni concesse da un ruolo collegato ai servizi possono essere indirettamente trasferite ad altri utenti e ruoli. Quando un ruolo collegato al servizio viene utilizzato da un AWS servizio, tale ruolo può utilizzare le proprie autorizzazioni per chiamare altri servizi. AWS Ciò significa che gli utenti e i ruoli con le autorizzazioni per chiamare un servizio che utilizza un ruolo collegato al servizio possono avere accesso indiretto ai servizi a cui può accedere quel ruolo collegato al servizio.
Ad esempio, quando crei un'istanza Amazon RDS DB, RDS viene creato automaticamente un ruolo collegato al servizio per se non ne esiste già uno. Questo ruolo collegato al servizio consente di RDS chiamare Amazon, EC2 Amazon, SNS Amazon CloudWatch Logs e Amazon Kinesis per tuo conto. Se consenti agli utenti e ai ruoli del tuo account di modificare o creare RDS database, potrebbero interagire indirettamente con i log di AmazonEC2, AmazonSNS, Amazon CloudWatch Logs e le risorse Amazon Kinesis chiamandoRDS, così come RDS utilizzare il ruolo collegato al servizio per accedere a tali risorse.
Creazione di un ruolo collegato ai servizi
Il metodo utilizzato per creare un ruolo collegato ai servizi dipende dal servizio. In alcuni casi, non devi creare manualmente un ruolo collegato ai servizi. Ad esempio, quando completi un'azione specifica (ad esempio la creazione di una risorsa) nel servizio, il servizio potrebbe creare il ruolo collegato ai servizi per te. O se stavi utilizzando un servizio prima di iniziare il supporto ai ruoli collegati ai servizi, allora il servizio potrebbe aver creato automaticamente il ruolo nel tuo account. Per ulteriori informazioni, consulta Un nuovo ruolo appare nell'account AWS.
In altri casi, il servizio potrebbe supportare la creazione manuale di un ruolo collegato al servizio utilizzando la console di servizio, oppure. API CLI Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato Sì nella colonna Ruolo collegato ai servizi. Per scoprire se il servizio supporta la creazione del ruolo collegato ai servizi, selezionare il link Sì per visualizzare il ruolo collegato ai servizi per quel servizio.
Se il servizio non supporta la creazione del ruolo, puoi utilizzare IAM per creare il ruolo collegato al servizio.
Importante
I ruoli collegati al servizio contano ai fini del calcolo IAMdei tuoi ruoli Account AWS entro un limite, ma se hai raggiunto il limite, puoi comunque creare ruoli collegati al servizio nel tuo account. Solo i ruoli collegati ai servizi possono superare il limite.
Creazione di un ruolo collegato ai servizi (console)
Prima di creare un ruolo collegato al servizio inIAM, scopri se il servizio collegato crea automaticamente ruoli collegati al servizio. Inoltre, scopri se puoi creare il ruolo dalla console del servizio, oppure. API CLI
Come creare un ruolo collegato ai servizi (console)
Accedi AWS Management Console e apri la console all'indirizzo. IAM https://console.aws.amazon.com/iam/
-
Nel riquadro di navigazione della IAM console, scegli Ruoli. Quindi seleziona Create role (Crea ruolo).
-
Scegli il tipo di ruolo di servizio AWS .
-
Scegli il caso d'uso per il servizio. I casi d'uso sono definiti dal servizio in modo da includere la policy di attendibilità richiesta dal servizio. Quindi, seleziona Next (Successivo).
-
Scegli una o più policy di autorizzazione da collegare al ruolo. A seconda del caso d'uso selezionato, il servizio può eseguire una di queste operazioni:
-
Definire le autorizzazioni utilizzate dal ruolo.
-
Consentire di scegliere tra un set limitato di autorizzazioni.
-
Consentire di scegliere qualsiasi autorizzazione.
-
Ti consente di non selezionare policy in questo momento, creare le policy successivamente e quindi collegarle al ruolo.
Seleziona la casella di controllo accanto alla policy che assegna le autorizzazioni desiderate per il ruolo, quindi scegli Next (Successivo).
Nota
Le autorizzazioni specificate sono disponibili per qualsiasi entità che utilizza il ruolo. Per default, un ruolo non dispone di autorizzazioni.
-
-
Il grado di personalizzazione per Nome ruolo viene definito dal servizio. Se il servizio definisce il nome del ruolo, allora questa opzione non può essere modificata. In altri casi, il servizio può definire un prefisso per il ruolo e consentirti di inserire un suffisso opzionale.
Se possibile, inserisci il suffisso del nome del ruolo da aggiungere al nome predefinito. Il suffisso consente di identificare lo scopo del ruolo. I nomi dei ruoli devono essere univoci all'interno dell'account AWS . Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia
<service-linked-role-name>_SAMPLEche<service-linked-role-name>_sample. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato. -
(Facoltativo) In Description (Descrizione), modifica la descrizione per il nuovo ruolo collegato ai servizi.
-
Non è possibile collegare tag ai ruoli collegati ai servizi durante la creazione. Per ulteriori informazioni sull'utilizzo dei tag inIAM, consultaTagging delle risorse IAM.
-
Rivedere il ruolo e scegliere Crea ruolo.
Creazione di un ruolo collegato ai servizi (AWS CLI)
Prima di creare un ruolo collegato al servizio inIAM, scopri se il servizio collegato crea automaticamente ruoli collegati al servizio e se puoi creare il ruolo partendo da quelli del servizio. CLI Se il servizio non CLI è supportato, puoi utilizzare IAM i comandi per creare un ruolo collegato al servizio con la policy di fiducia e le politiche in linea necessarie al servizio per assumere il ruolo.
Per creare un ruolo collegato ai servizi (AWS CLI)
Esegui il comando seguente:
aws iam create-service-linked-role --aws-service-nameSERVICE-NAME.amazonaws.com
Creazione di un ruolo collegato al servizio ()AWS API
Prima di creare un ruolo collegato al servizio inIAM, verificate se il servizio collegato crea automaticamente ruoli collegati al servizio e se è possibile creare il ruolo partendo da quelli del servizio. API Se il servizio non API è supportato, puoi utilizzare il AWS API per creare un ruolo collegato al servizio con la policy di fiducia e le politiche in linea necessarie al servizio per assumere il ruolo.
Per creare un ruolo collegato al servizio ()AWS API
Usa la chiamata. CreateServiceLinkedRoleAPI Nella richiesta, specificare un nome del servizio di SERVICE_NAME_URL.amazonaws.com
Ad esempio, per creare il ruolo collegato ai servizi Lex Bots (Bot di Lex), utilizzare lex.amazonaws.com.
