Utilizzo di ruoli collegati ai servizi per AWS Config - AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per AWS Config

AWS Config utilizza ruoli collegati al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente a AWS Config. I ruoli collegati ai servizi sono definiti automaticamente da AWS Config e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri servizi AWS per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di AWS Config perché non dovrai più aggiungere manualmente le autorizzazioni necessarie. AWS Config definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, AWS Config potrà assumere solo i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo associato ai servizi. Scegli Yes (Sì) in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per AWS Config

AWS Configusa il ruolo collegato al servizio denominato .Ruolo di servizio AWS per Config–AWS Configutilizza questo ruolo collegato al servizio per richiamare altriAWSservizi per tuo conto.

LaRuolo di servizio AWS per ConfigIl ruolo collegato ai servizi considera attendibileconfig.amazonaws.comper l'assunzione del ruolo.

Il criterio delle autorizzazioni per ilAWSServiceRoleForConfigrole contiene autorizzazioni di sola lettura e di sola scrittura perAWS Configrisorse e autorizzazioni di sola lettura per le risorse in altri serviziAWS Configsupporta. Per ulteriori informazioni, consulta la pagina Tipi di risorsa supportati .

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Per utilizzare un ruolo collegato ai servizi conAWS Configdevi configurare le autorizzazioni sul bucket Amazon S3 e sull'argomento Amazon SNS. Per ulteriori informazioni, consulta Autorizzazioni necessarie per il bucket Amazon S3 quando utilizzi i ruoli collegati ai servizi e Autorizzazioni necessarie per l'argomento Amazon SNS quando utilizzi i ruoli collegati ai servizi.

Creazione di un ruolo collegato ai servizi per AWS Config

Nella CLI IAM o nell'API IAM, crea un ruolo collegato ai servizi con il nome servizio config.amazonaws.com. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM. Se elimini il ruolo collegato ai servizi, puoi utilizzare lo stesso processo per crearlo nuovamente.

Modifica di un ruolo collegato ai servizi per AWS Config

AWS Confignon consente di modificare ilRuolo di servizio AWS per Configruolo collegato al servizio. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per AWS Config

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Nota

Se il servizio AWS Config utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminareAWS Configrisorse di utilizzate daRuolo di servizio AWS per Config

Verificare che ConfigurationRecorders non stia utilizzano ruolo collegato ai servizi. Puoi utilizzare la console AWS Config per arrestare la registrazione della configurazione. Per interrompere la registrazione, sottoLa registrazione è attivata, scegliDisattivazione di.

Puoi eliminare la ConfigurationRecorder utilizzando l'API di AWS Config. Per eliminare, utilizza il comando delete-configuration-recorder.

$ aws configservice delete-configuration-recorder --configuration-recorder-name default

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Utilizza la console IAM, l'interfaccia a riga di comando IAM o l'API IAM per eliminare il ruolo collegato ai servizi AWSServiceRoleForConfig. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.