Utilizzo di ruoli collegati ai servizi - AWS Identity and Access Management
Autorizzazioni del ruolo collegato ai serviziAutorizzazioni indiretteCreazione di un ruolo collegato ai serviziModificare un ruolo collegato ai serviziEliminazione del ruolo collegato ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi

Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a un servizio AWS. I ruoli collegati ai servizi sono predefiniti dal servizio stesso e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto. Il servizio collegato definisce anche le modalità di creazione, modifica ed eliminazione di un ruolo collegato al servizio. Un servizio può creare o eliminare automaticamente il ruolo. È possibile che ti permetta di creare, modificare o eliminare il ruolo come parte di una procedura guidata o un processo nel servizio. Oppure potrebbe richiedere l'utilizzo di IAM per creare o eliminare il ruolo. Indipendentemente dal metodo, i ruoli collegati ai servizi semplificano la procedura di configurazione di un servizio poiché non dovrai più aggiungere manualmente le autorizzazioni necessarie ai servizi per completare le operazioni per tuo conto.

Nota

Ricorda che i ruoli di servizio sono diversi dai ruoli collegati ai servizi. Un ruolo di servizio è un ruolo IAM che un servizio assume per eseguire operazioni per tuo conto. Un amministratore IAM può creare, modificare ed eliminare un ruolo di servizio da IAM. Per ulteriori informazioni, consulta la pagina relativa alla creazione di un ruolo per delegare le autorizzazioni a un utente IAMServizio AWS nella Guida per l'utente di IAM. Un ruolo collegato ai servizi è un tipo di ruolo di servizio che è collegato a un Servizio AWS. Il servizio può assumere il ruolo per eseguire un'azione per conto dell'utente. I ruoli collegati ai servizi sono visualizzati nell'account Account AWS e sono di proprietà del servizio. Un amministratore IAM può visualizzare le autorizzazioni per i ruoli collegati ai servizi, ma non può modificarle.

Il servizio collegato definisce le autorizzazioni dei relativi ruoli collegati ai servizi e, a meno che non sia stato stabilito diversamente, solo quel servizio può assumere i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Prima di poter eliminare i ruoli, devi eliminare le risorse associate. Questa procedura protegge le risorse di perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Suggerimento

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Scegli Yes (Sì) in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi

Per consentire a un utente o un ruolo di creare o modificare un ruolo collegato ai servizi, devi configurare le autorizzazioni per un'entità IAM (utente o ruolo).

Nota

L'ARN per un ruolo collegato ai servizi include un'entità principale del servizio, indicata nelle policy seguenti come SERVICE-NAME.amazonaws.com. Non tentare di indovinare l'entità principale del servizio, perché fa distinzione tra maiuscole e minuscole e il formato può variare tra i servizi AWS. Per visualizzare l'entità principale di un servizio, consulta la relativa documentazione del ruolo collegato al servizio.

Per consentire a un'entità IAM di creare un ruolo specifico collegato ai servizi

Aggiungi la policy seguente a un'entità IAM che deve creare il ruolo collegato ai servizi.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "SERVICE-NAME.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:AttachRolePolicy",
                "iam:PutRolePolicy"
            ],
            "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
        }
    ]
}

Come consentire a un'entità IAM di creare qualunque ruolo collegato ai servizi

Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve creare un ruolo collegato ai servizi o qualunque ruolo di servizio che include le policy di cui ha bisogno. Questa istruzione della policy non consente all'entità IAM di collegare una policy al ruolo.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Come consentire a un'entità IAM di modificare la descrizione di qualunque ruolo di servizio

Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve modificare la descrizione di un ruolo collegato ai servizi o qualunque ruolo di servizio.

{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Come consentire a un'entità IAM di eliminare un ruolo collegato ai servizi specifico

Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve eliminare il ruolo collegato ai servizi.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/SERVICE-NAME.amazonaws.com/SERVICE-LINKED-ROLE-NAME-PREFIX*"
}

Come consentire a un'entità IAM di eliminare qualunque ruolo collegato ai servizi

Aggiungi la seguente istruzione alla policy delle autorizzazioni per l'entità IAM che deve eliminare un ruolo collegato ai servizi ma non il ruolo di servizio.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Come consentire a un'entità IAM di passare un ruolo esistente al servizio

Alcuni servizi AWS consentono di passare un ruolo esistente al servizio, invece di creare un nuovo ruolo collegato al servizio. Per eseguire questa operazione, un utente deve disporre delle autorizzazioni per passare il ruolo al servizio. Aggiungi l'istruzione seguente alla policy delle autorizzazioni per l'entità IAM che deve passare un ruolo. Questa istruzione della policy consente anche all'entità di visualizzare un elenco di ruoli da cui è possibile scegliere il ruolo da passare. Per ulteriori informazioni, consulta Concessione di autorizzazioni utente per il passaggio di un ruolo a un servizio AWS.

{
  "Sid": "PolicyStatementToAllowUserToListRoles",
  "Effect": "Allow",
  "Action": ["iam:ListRoles"],
  "Resource": "*"
},
{
  "Sid": "PolicyStatementToAllowUserToPassOneSpecificRole",
  "Effect": "Allow",
  "Action": [ "iam:PassRole" ],
  "Resource": "arn:aws:iam::account-id:role/my-role-for-XYZ"
}

Autorizzazioni indirette con ruoli collegati al servizio

Le autorizzazioni concesse da un ruolo collegato ai servizi possono essere indirettamente trasferite ad altri utenti e ruoli. Quando un ruolo collegato al servizio viene utilizzato da un servizio AWS, quel ruolo collegato al servizio può utilizzare le proprie autorizzazioni per chiamare altri servizi AWS. Ciò significa che gli utenti e i ruoli con le autorizzazioni per chiamare un servizio che utilizza un ruolo collegato al servizio possono avere accesso indiretto ai servizi a cui può accedere quel ruolo collegato al servizio.

Ad esempio, quando crei un'istanza database Amazon RDS, un ruolo collegato ai servizi per RDS viene creato automaticamente se non ne esiste già uno. Questo ruolo collegato ai servizi consente a RDS di chiamare Amazon EC2, Amazon SNS, File di log Amazon CloudWatch e Amazon Kinesis per tuo conto. Se consenti agli utenti e ai ruoli del tuo account di modificare o creare database RDS, questi potrebbero essere in grado di interagire indirettamente con Amazon EC2, Amazon SNS, i log dei File di log Amazon CloudWatch e le risorse Amazon Kinesis chiamando RDS, poiché RDS utilizzerebbe il suo ruolo collegato ai servizi per accedere a tali risorse.

Creazione di un ruolo collegato ai servizi

Il metodo utilizzato per creare un ruolo collegato ai servizi dipende dal servizio. In alcuni casi, non devi creare manualmente un ruolo collegato ai servizi. Ad esempio, quando completi un'azione specifica (ad esempio la creazione di una risorsa) nel servizio, il servizio potrebbe creare il ruolo collegato ai servizi per te. O se stavi utilizzando un servizio prima di iniziare il supporto ai ruoli collegati ai servizi, allora il servizio potrebbe aver creato automaticamente il ruolo nel tuo account. Per ulteriori informazioni, consulta Un nuovo ruolo appare nell'account AWS.

In altri casi, il servizio può supportare la creazione di un ruolo collegato ai servizi manualmente utilizzando la console di servizio, le API o la CLI. Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Per scoprire se il servizio supporta la creazione del ruolo collegato ai servizi, selezionare il link per visualizzare il ruolo collegato ai servizi per quel servizio.

Se il servizio non supporta la creazione del ruolo, è possibile utilizzare IAM per creare il ruolo collegato ai servizi.

Importante

I ruoli collegati ai servizi vengono conteggiati nel limite dei Ruoli IAM in un Account AWS, ma se è stato raggiunto il limite puoi sempre creare i ruoli collegati ai servizi nel tuo account. Solo i ruoli collegati ai servizi possono superare il limite.

Creazione di un ruolo collegato ai servizi (console)

Prima di creare un ruolo collegato ai servizi in IAM, scopri se il servizio collegato crea automaticamente i ruoli collegati ai servizi; inoltre, scopri se è possibile creare il ruolo dalla console del servizio, dall'API o dalla CLI.

Come creare un ruolo collegato ai servizi (console)

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM seleziona Roles (Ruoli). Quindi seleziona Create role (Crea ruolo).

  3. Scegli il tipo di ruolo di servizio AWS.

  4. Scegli il caso d'uso per il servizio. I casi d'uso sono definiti dal servizio in modo da includere la policy di attendibilità richiesta dal servizio. Quindi, seleziona Next (Successivo).

  5. Scegli una o più policy di autorizzazione da collegare al ruolo. A seconda del caso d'uso selezionato, il servizio può eseguire una di queste operazioni:

    • Definire le autorizzazioni utilizzate dal ruolo.

    • Consentire di scegliere tra un set limitato di autorizzazioni.

    • Consentire di scegliere qualsiasi autorizzazione.

    • Ti consente di non selezionare policy in questo momento, creare le policy successivamente e quindi collegarle al ruolo.

    Seleziona la casella di controllo accanto alla policy che assegna le autorizzazioni desiderate per il ruolo, quindi scegli Next (Successivo).

    Nota

    Le autorizzazioni specificate sono disponibili per qualsiasi entità che utilizza il ruolo. Per default, un ruolo non dispone di autorizzazioni.

  6. Il grado di personalizzazione per Nome ruolo viene definito dal servizio. Se il servizio definisce il nome del ruolo, allora questa opzione non può essere modificata. In altri casi, il servizio può definire un prefisso per il ruolo e consentirti di inserire un suffisso opzionale.

    Se possibile, inserisci il suffisso del nome del ruolo da aggiungere al nome predefinito. Il suffisso consente di identificare lo scopo del ruolo. I nomi dei ruoli devono essere univoci all'interno dell'account AWS. Non fanno distinzione tra maiuscole e minuscole. Ad esempio, non è possibile creare ruoli denominati sia <service-linked-role-name>_SAMPLE che <service-linked-role-name>_sample. Poiché varie entità possono fare riferimento al ruolo, non è possibile modificare il nome del ruolo dopo averlo creato.

  7. (Facoltativo) In Description (Descrizione), modifica la descrizione per il nuovo ruolo collegato ai servizi.

  8. Non è possibile collegare tag ai ruoli collegati ai servizi durante la creazione. Per ulteriori informazioni sull'utilizzo dei tag in IAM, consultare Tagging delle risorse IAM.

  9. Rivedere il ruolo e scegliere Crea ruolo.

Creazione di un ruolo collegato ai servizi (AWS CLI)

Prima di creare un ruolo collegato ai servizi in IAM, scopri se il servizio collegato crea automaticamente i ruoli collegati ai servizi e se è possibile creare il ruolo dalla CLI del servizio. Se la CLI del servizio non è supportata, puoi usare i comandi IAM per creare un ruolo collegato ai servizi con la policy di attendibilità e le policy in linea che il servizio richiede per assumere il ruolo.

Per creare un ruolo collegato ai servizi (AWS CLI)

Esegui il comando seguente:

aws iam create-service-linked-role --aws-service-name SERVICE-NAME.amazonaws.com

Creazione di un ruolo collegato ai servizi (API AWS)

Prima di creare un ruolo collegato ai servizi in IAM, scopri se il servizio collegato crea automaticamente i ruoli collegati ai servizi e scopri se è possibile creare il ruolo dalle API del servizio. Se le API del servizio non sono supportate, puoi usare i comandi API AWS per creare un ruolo collegato ai servizi con la policy di affidabilità e le policy inline che il servizio richiede per assumere il ruolo.

Per creare un ruolo collegato ai servizi (API AWS)

Utilizzare le chiamate API CreateServiceLinkedRole. Nella richiesta, specificare un nome del servizio di SERVICE_NAME_URL.amazonaws.com.

Ad esempio, per creare il ruolo collegato ai servizi Lex Bots (Bot di Lex), utilizzare lex.amazonaws.com.

Modificare un ruolo collegato ai servizi

Il metodo utilizzato per modificare un ruolo collegato ai servizi dipende dal servizio. Alcuni servizi consentono di modificare le autorizzazioni per un ruolo collegato ai servizi dalla console di servizio, dalle API o dalla CLI. Tuttavia, dopo aver creato un ruolo collegato ai servizi, non è possibile modificare il nome del ruolo poiché varie entità possono farvi riferimento. Puoi modificare la descrizione di qualsiasi ruolo dalla console IAM, dall'API o dalla CLI.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Per scoprire se il servizio supporta la modifica del ruolo collegato ai servizi, selezionare il link per visualizzare il ruolo collegato ai servizi per quel servizio.

Modifica della descrizione di un ruolo collegato ai servizi (console)

Puoi utilizzare la console IAM per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (console)

  1. Nel pannello di navigazione della console IAM seleziona Roles (Ruoli).

  2. Scegliere il nome del ruolo da modificare.

  3. Nella parte destra di Role description (Descrizione ruolo), scegliere Edit (Modifica).

  4. Digita una nuova descrizione nella casella e scegli Save (Salva).

Modifica della descrizione di un ruolo collegato ai servizi (AWS CLI)

Puoi utilizzare i comandi IAM dalla AWS CLI per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (AWS CLI)

  1. (Facoltativo) Per visualizzare la descrizione attuale di un ruolo, utilizza i seguenti comandi:

    aws iam get-role --role-name ROLE-NAME

    Per fare riferimento ai ruoli con i comandi della CLI utilizza il nome del ruolo, non l'ARN. Ad esempio, per fare riferimento a un ruolo il cui ARN è arn:aws:iam::123456789012:role/myrole, puoi usare myrole.

  2. Per aggiornare la descrizione di un ruolo collegato ai servizi, utilizza il seguente comando:

    aws iam update-role --role-name ROLE-NAME --description OPTIONAL-DESCRIPTION

Modifica della descrizione di un ruolo collegato ai servizi (API AWS)

È possibile utilizzare l'API AWS per modificare la descrizione di un ruolo collegato ai servizi.

Per modificare la descrizione di un ruolo collegato ai servizi (API AWS)

  1. (Facoltativo) Per visualizzare l'attuale descrizione per un ruolo, effettua una chiamata all'operazione seguente e specifica il nome del ruolo:

    API AWS: GetRole

  2. Per aggiornare la descrizione di un ruolo, effettua una chiamata all'operazione seguente e specifica il nome (e facoltativamente la descrizione) del ruolo:

    API AWS: UpdateRole

Eliminazione del ruolo collegato ai servizi

Il metodo utilizzato per creare un ruolo collegato ai servizi dipende dal servizio. In alcuni casi, non devi eliminare manualmente un ruolo collegato ai servizi. Ad esempio, quando completi un'operazione specifica (come eliminare una risorsa) nel servizio, il servizio potrebbe eliminare il ruolo collegato ai servizi per te.

In altri casi, il servizio può supportare l'eliminazione di un ruolo collegato ai servizi manualmente dalla console del servizio, dall'API o dalla AWS CLI.

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Per scoprire se il servizio supporta l'eliminazione del ruolo collegato ai servizi, scegli il link per visualizzare il ruolo collegato ai servizi per quel servizio.

Se il servizio non supporta l'eliminazione del ruolo, allora puoi eliminare il ruolo collegato ai servizi dalla console IAM, dall'API o dalla AWS CLI. Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare.

Pulizia di un ruolo collegato ai servizi

Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.

Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM seleziona Roles (Ruoli). Quindi, scegli il nome (non la casella di controllo) del ruolo collegato al servizio.

  3. Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegliere la scheda Access Advisor (Consulente accessi).

  4. Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.

    Nota

    Se non sei certo che il servizio stia utilizzando il ruolo collegato ai servizi, puoi provare a eliminare il ruolo. Se il servizio sta utilizzando il ruolo, l'eliminazione non andrà a buon fine e potrai visualizzare le regioni in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato ai servizi.

Per rimuovere le risorse utilizzate dal ruolo collegato ai servizi

Per informazioni su quali servizi supportano i ruoli collegati ai servizi, consulta la pagina AWS servizi che funzionano con IAM e cerca i servizi per cui è indicato nella colonna Ruolo collegato ai servizi. Per scoprire se il servizio supporta l'eliminazione del ruolo collegato ai servizi, scegli il link per visualizzare il ruolo collegato ai servizi per quel servizio. Consulta la documentazione per quel servizio per Scopri come rimuovere le risorse utilizzate dal ruolo collegato ai servizi.

Eliminazione di un ruolo collegato ai servizi (console)

Puoi utilizzare la console IAM per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (console)

  1. Accedi alla AWS Management Console e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/.

  2. Nel pannello di navigazione della console IAM seleziona Roles (Ruoli). Quindi, seleziona la casella di controllo accanto al nome del ruolo che desideri eliminare, non il nome o la riga stessa.

  3. In Operazioni ruolo nella parte superiore della pagina, seleziona Elimina.

  4. Nella finestra di dialogo di conferma controlla i dati relativi all'ultimo accesso ai servizi, che indicano quando ognuno dei ruoli selezionati ha effettuato l'accesso a un servizio AWS. In questo modo potrai verificare se il ruolo è attualmente attivo. Se desideri procedere, seleziona Yes, Delete (Sì, elimina) per richiedere l'eliminazione del ruolo collegato ai servizi.

  5. Controlla le notifiche della console IAM per monitorare lo stato dell'eliminazione del ruolo collegato ai servizi. Poiché l'eliminazione del ruolo collegato ai servizi IAM è asincrona, una volta richiesta l'eliminazione del ruolo, il task di eliminazione può essere eseguito correttamente o meno.

    • Se il task viene eseguito correttamente, il ruolo viene rimosso dall'elenco e nella parte superiore della pagina viene visualizzata una notifica di completamento.

    • Se il task non viene eseguito correttamente, puoi scegliere View details (Visualizza dettagli) o View Resources (Visualizza risorse) dalle notifiche per capire perché l'eliminazione non è stata effettuata. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi eliminare le risorse e richiedere nuovamente l'eliminazione.

      Nota

      In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna.

    • Se il task non viene eseguito e la notifica non include un elenco di risorse, il servizio potrebbe non restituire questa informazione. Per scoprire come eliminare le risorse per quel servizio, consultare la pagina AWS servizi che funzionano con IAM. Trova il servizio nella tabella e seleziona il link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.

Eliminazione del ruolo collegato ai servizi (AWS CLI)

Puoi utilizzare i comandi IAM dalla AWS CLI per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (AWS CLI)

  1. Se conosci il nome del ruolo collegato ai servizi da eliminare, inserisci il comando seguente per elencare i ruoli nell'account:

    aws iam get-role --role-name role-name

    Per fare riferimento ai ruoli con i comandi della CLI utilizza il nome del ruolo, non l'ARN. Ad esempio, per fare riferimento a un ruolo il cui ARN è arn:aws:iam::123456789012:role/myrole, puoi usare myrole.

  2. Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di deletion-task-id dalla risposta per controllare lo stato del task di eliminazione. Inserisci il seguente comando per inviare una richiesta di eliminazione di un ruolo collegato ai servizi:

    aws iam delete-service-linked-role --role-name role-name

  3. Inserisci il seguente comando per verificare lo stato dell'attività di eliminazione:

    aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id

    Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi eliminare le risorse e richiedere nuovamente l'eliminazione.

    Nota

    In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna. Per scoprire come eliminare le risorse per un servizio che non restituisce nessuna risorsa, consultare la pagina AWS servizi che funzionano con IAM. Trova il servizio nella tabella e seleziona il link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.

Eliminazione di un ruolo collegato ai servizi (API AWS)

È possibile utilizzare l'API AWS per eliminare un ruolo collegato ai servizi.

Per eliminare un ruolo collegato ai servizi (API AWS)

  1. Per inviare una richiesta di eliminazione per un ruolo collegato ai servizi, chiama DeleteServiceLinkedRole. Nella richiesta, specifica il nome del ruolo.

    Poiché un ruolo collegato ai servizi non può essere eliminato se è in uso o se a esso sono associate delle risorse, occorre inviare una richiesta di eliminazione. Se queste condizioni non sono soddisfatte, la richiesta può essere rifiutata. Acquisisci il valore di DeletionTaskId dalla risposta per controllare lo stato del task di eliminazione.

  2. Per controllare lo stato dell'eliminazione, chiama GetServiceLinkedRoleDeletionStatus. Nella richiesta, specificare il DeletionTaskId.

    Lo stato di un task di eliminazione può essere NOT_STARTED, IN_PROGRESS, SUCCEEDED o FAILED. Se l'eliminazione non viene eseguita correttamente, la chiamata restituisce il motivo dell'errore per consentire all'utente di risolvere il problema. Se l'eliminazione non viene eseguita perché il ruolo sta utilizzando le risorse del servizio, la notifica include un elenco di risorse, se il servizio restituisce questa informazione. A questo punto puoi eliminare le risorse e richiedere nuovamente l'eliminazione.

    Nota

    In base alle informazioni restituite dal servizio, è possibile che sia necessario ripetere questo processo diverse volte. Ad esempio, il ruolo collegato ai servizi potrebbe utilizzare sei risorse e il servizio potrebbe restituire informazioni su cinque di esse. Se elimini le cinque risorse e richiedi nuovamente l'eliminazione del ruolo, l'eliminazione non viene eseguita correttamente e il servizio segnala la risorsa rimanente. Un servizio può restituire tutte le risorse, solo alcune o nessuna. Per scoprire come eliminare le risorse per un servizio che non restituisce nessuna risorsa, consultare la pagina AWS servizi che funzionano con IAM. Trova il servizio nella tabella e seleziona il link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per quel servizio.