Ruoli collegati ai servizi per AWS CloudHSM - AWS CloudHSM

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Ruoli collegati ai servizi per AWS CloudHSM

La IAM politica che hai creato in precedenza Politiche gestite dal cliente per AWS CloudHSM include l'azioneiam:CreateServiceLinkedRole. AWS CloudHSM definisce un ruolo collegato al servizio denominato. AWSServiceRoleForCloudHSM Il ruolo è predefinito AWS CloudHSM e include le autorizzazioni che AWS CloudHSM richiedono di chiamare altri AWS servizi per conto dell'utente. Il ruolo rende più semplice l'impostazione del servizio perché non devi aggiungere manualmente la policy del ruolo e le autorizzazioni della policy di attendibilità.

La policy relativa AWS CloudHSM ai ruoli consente di creare gruppi di CloudWatch log e flussi di log di Amazon Logs e scrivere eventi di log per tuo conto. Puoi visualizzarlo qui sotto e nella IAM console.

{ "Version": "2018-06-12", "Statement": [ { "Effect": "Allow", "Action": [ "logs:CreateLogGroup", "logs:CreateLogStream", "logs:PutLogEvents", "logs:DescribeLogStreams" ], "Resource": [ "arn:aws:logs:*:*:*" ] } ] }

La politica di fiducia per il AWSServiceRoleForCloudHSMruolo AWS CloudHSM consente di assumere il ruolo.

{ "Version": "2018-06-12", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "cloudhsm.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }

Creazione di un ruolo collegato ai servizi (Automatico)

AWS CloudHSM crea il AWSServiceRoleForCloudHSMruolo quando si crea un cluster se si include l'iam:CreateServiceLinkedRoleazione nelle autorizzazioni definite al momento della creazione del gruppo di AWS CloudHSM amministratori. Per informazioni, consulta Politiche gestite dal cliente per AWS CloudHSM.

Se disponi già di uno o più cluster e desideri solo aggiungere il AWSServiceRoleForCloudHSMruolo, puoi utilizzare la console, il comando create-cluster o l'CreateClusterAPIoperazione per creare un cluster. Quindi usa la console, il comando delete-cluster o l'DeleteClusterAPIoperazione per eliminarlo. La creazione del nuovo cluster genera il ruolo collegato al servizio e lo applica a tutti i cluster nel tuo account. In alternativa, puoi creare manualmente il ruolo. Per ulteriori informazioni, consulta la sezione seguente.

Nota

Non è necessario eseguire tutti i passaggi descritti in Iniziare con AWS CloudHSM per creare un cluster se lo si sta creando solo per aggiungere il ruolo. AWSServiceRoleForCloudHSM

Creazione di un ruolo collegato ai servizi (Manuale)

È possibile utilizzare la IAM AWS CLI console o API creare il AWSServiceRoleForCloudHSMruolo. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'IAMutente.

Modifica del ruolo collegato ai servizi

AWS CloudHSM non consente di modificare il AWSServiceRoleForCloudHSMruolo. Dopo aver creato il ruolo, ad esempio, non è possibile modificarne il nome perché varie entità possono referenziare il ruolo sulla base del nome. Inoltre, non è possibile modificare la policy del ruolo. Tuttavia, è possibile utilizzare IAM per modificare la descrizione del ruolo. Per ulteriori informazioni, vedere Modifica di un ruolo collegato a un servizio nella Guida per l'IAMutente.

Eliminazione del ruolo collegato ai servizi

Non è possibile eliminare un ruolo collegato ai servizi poiché il cluster a cui è stato applicato è ancora disponibile. Per eliminare il ruolo, devi prima eliminare tutti HSM i ruoli del cluster e poi eliminare il cluster. Ogni cluster nel tuo account deve essere eliminato. È quindi possibile utilizzare la IAM AWS CLI console o API eliminare il ruolo. Per ulteriori informazioni sull'eliminazione di un cluster, consulta Eliminazione di un cluster AWS CloudHSM. Per ulteriori informazioni, consulta Eliminazione di un ruolo collegato ai servizi nella Guida per l'IAMutente.