Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per AWS Directory Service
AWS Directory Service utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Directory Service I ruoli collegati ai servizi sono predefiniti AWS Directory Service e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione AWS Directory Service perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Directory Service definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Directory Service Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni, che non possono essere collegate a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo si evita di perdere l'accesso alle AWS Directory Service risorse perché non è possibile rimuovere inavvertitamente le autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta Servizi AWS che funzionano con IAM.
Argomenti
Autorizzazioni di ruolo collegate al servizio per AWS Directory Service
Creazione di un ruolo collegato al servizio per AWS Directory Service
Modifica di un ruolo collegato al servizio per AWS Directory Service
Eliminazione di un ruolo collegato al servizio per AWS Directory Service
Regioni supportate per i ruoli collegati ai servizi AWS Directory Service
Autorizzazioni di ruolo collegate al servizio per AWS Directory Service
AWS Directory Service utilizza il ruolo collegato al servizio denominato AWSServiceRoleForDirectoryService: consente di monitorare i controller di dominio AWS autogestiti del cliente.
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForDirectoryService considera attendibili i seguenti servizi:
-
ds.amazonaws.com
La politica di autorizzazione dei ruoli denominata AWSDirectory ServiceServiceRolePolicy consente di AWS Directory Service completare le seguenti azioni sulle risorse specificate. Per le autorizzazioni complete della policy, vedere AWSDirectoryServiceServiceRolePolicynel AWS Managed Policy Reference.
-
ec2— Consente al servizio di descrivere risorse di rete come sottoreti VPCs, gruppi di sicurezza e interfacce di rete per convalidare le configurazioni di connettività ibrida:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— Consente al servizio di inviare e monitorare le PowerShell guilabel ai controller di dominio locali per scopi di monitoraggio e valutazione:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Creazione di un ruolo collegato al servizio per AWS Directory Service
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando consenti di AWS monitorare i controller di dominio autogestiti del cliente nell'API AWS Management Console, l'o l' AWS API AWS CLI, AWS Directory Service crea automaticamente il ruolo collegato al servizio. Per ulteriori informazioni su questa modifica, consulta Aggiornamenti delle politiche.
Importante
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il AWS Directory Service servizio prima del 1° gennaio 2017, quando ha iniziato a supportare i ruoli collegati al servizio, hai AWS Directory Service creato il AWSServiceRoleForDirectoryServiceruolo nel tuo account. Per ulteriori informazioni, vedi A new role appeared in my. Account AWS
Modifica di un ruolo collegato al servizio per AWS Directory Service
AWS Directory Service non consente di modificare il ruolo collegato al AWSServiceRoleForDirectoryServiceservizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione di un ruolo collegato al servizio per AWS Directory Service
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
Nota
Se il AWS Directory Service servizio utilizza il ruolo nel momento in cui si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
Per eliminare AWS Directory Service le risorse utilizzate da AWSService RoleForDirectoryService
-
Per eliminare la tua directory, consultaEliminazione di AWS Managed Microsoft AD.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSServiceRoleForDirectoryServicecollegato al servizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato al servizio nella Guida per l'utente di IAM.
Regioni supportate per i ruoli collegati ai servizi AWS Directory Service
AWS Directory Service non supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Tuttavia, AWS Directory Service utilizza il AWSServiceRoleForDirectoryServiceruolo solo Regioni AWS quando è possibile attivare le directory ibride.
| Nome della Regione | Identità della regione | supporto opt-in |
|---|---|---|
| US East (N. Virginia) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| US West (N. California) | us-west-1 | Sì |
| US West (Oregon) | us-west-2 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Medio Oriente (Bahrein) | me-south-1 | Sì |
| Asia Pacific (Mumbai) | ap-south-1 | Sì |
| Europe (Paris) | eu-west-3 | Sì |
| Asia Pacifico (Giacarta) | ap-southeast-3 | Sì |
| Africa (Cape Town) | af-south-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | Sì |
| Europe (Frankfurt) | eu-central-1 | Sì |
| Sud America (São Paulo) | sa-east-1 | Sì |
| Asia Pacifico (Hong Kong) | ap-east-1 | Sì |
| Asia Pacific (Hyderabad) | ap-south-2 | Sì |
| Asia Pacifico (Seul) | ap-northeast-2 | Sì |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | Sì |
| Europe (London) | eu-west-2 | Sì |
| Asia Pacifico (Melbourne) | ap-southeast-4 | Sì |
| Europa (Milano) | eu-south-1 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Canada (Central) | ca-central-1 | Sì |
| Europa (Spagna) | eu-south-2 | Sì |
| Europa (Zurigo) | eu-central-2 | Sì |
