Utilizzo di ruoli collegati ai servizi per Amazon EFS - Amazon Elastic File System

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Amazon EFS

Amazon Elastic File System utilizza un ruolo collegato al servizioAWS Identity and Access Management (IAM). Il ruolo collegato ai servizi Amazon EFS è un tipo di ruolo IAM univoco collegato direttamente ad Amazon EFS. Il ruolo collegato ai servizi Amazon EFS include le autorizzazioni richieste dal servizio per effettuare chiamate agli altri per tuoServizi AWS conto.

Un ruolo collegato ai servizi semplifica la configurazione di Amazon EFS perché ti permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Amazon EFS definisce le autorizzazioni del ruolo collegato ai servizi e solo Amazon EFS potrà assumere tale ruolo. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

Puoi eliminare il ruolo collegato ai servizi Amazon EFS solo dopo avere eliminato i file system Amazon EFS. Questa procedura protegge le risorse di Amazon EFS perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Il ruolo collegato ai servizi abilita tutte le chiamate API in modo che siano visibili tramite AWS CloudTrail. Questa procedura semplifica i requisiti di monitoraggio e controllo perché consente di tenere traccia di tutte le operazioni che Amazon EFS esegue per tuo conto. Per ulteriori informazioni, consulta Voci di registro per i ruoli collegati al EFS servizio.

Autorizzazioni del ruolo collegato ai servizi per Amazon EFS

Amazon EFS utilizza il ruolo collegato al servizio denominatoAWSServiceRoleForAmazonElasticFileSystem per consentire ad Amazon EFS di chiamare e gestireAWS le risorse per conto dei tuoi file system EFS.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForAmazonElasticFileSystem considera attendibili i seguenti servizi:

  • elasticfilesystem.amazonaws.com

La policy delle autorizzazioni del ruolo consente ad Amazon EFS di completare le operazioni incluse nella definizione della policy JSON:

{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "backup-storage:MountCapsule", "ec2:CreateNetworkInterface", "ec2:DeleteNetworkInterface", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeNetworkInterfaceAttribute", "ec2:ModifyNetworkInterfaceAttribute", "tag:GetResources" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "kms:DescribeKey" ], "Resource": "arn:aws:kms:*:*:key/*" }, { "Effect": "Allow", "Action": [ "backup:CreateBackupVault", "backup:PutBackupVaultAccessPolicy" ], "Resource": [ "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault" ] }, { "Effect": "Allow", "Action": [ "backup:CreateBackupPlan", "backup:CreateBackupSelection" ], "Resource": [ "arn:aws:backup:*:*:backup-plan:*" ] }, { "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole" ], "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "backup.amazonaws.com" ] } } }, { "Effect": "Allow", "Action": [ "iam:PassRole" ], "Resource": [ "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup" ], "Condition": { "StringLike": { "iam:PassedToService": "backup.amazonaws.com" } } }, { "Effect": "Allow", "Action": [ "elasticfilesystem:DescribeFileSystems", "elasticfilesystem:CreateReplicationConfiguration", "elasticfilesystem:DescribeReplicationConfigurations", "elasticfilesystem:DeleteReplicationConfiguration" ], "Resource": "*" } ] }
Nota

È necessario configurare manualmente le autorizzazioni IAM per laAWS KMS creazione di un nuovo file system Amazon EFS crittografato a riposo. Per ulteriori informazioni, consulta Crittografia dei dati a riposo.

Creazione di un ruolo collegato ai servizi per Amazon EFS

Per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di creare un ruolo collegato ai servizi. Per fare ciò, aggiungi l'iam:CreateServiceLinkedRoleautorizzazione a un'entità IAM, come visualizzato nell'esempio seguente.

{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "*", "Condition": { "StringEquals": { "iam:AWSServiceName": [ "elasticfilesystem.amazonaws.com" ] } } }

Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei obiettivi di montaggio o una configurazione di replica per il file system EFS nelAWS Management ConsoleAWS CLI, o nell'AWSAPI di, Amazon EFS crea il ruolo collegato ai servizi per l'utente.

Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei obiettivi di montaggio o una configurazione di replica per il file EFS, Amazon EFS crea di nuovo il ruolo collegato ai servizi per l'utente.

Modifica di un ruolo collegato ai servizi per Amazon EFS

Amazon EFS non consente di modificare il ruoloAWSServiceRoleForAmazonElasticFileSystem collegato ai servizi. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon EFS

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Nota

Se il servizio Amazon EFS utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse Amazon EFS utilizzate daAWSServiceRoleForAmazonElasticFileSystem

Completa i seguenti passaggi per eliminare le risorse Amazon EFS utilizzate daAWSServiceRoleForAmazonElasticFileSystem. Per la procedura dettagliata, vederePulisci le risorse e proteggi il tuo account AWS.

  1. Nell'istanza Amazon EC2, smonta il file system Amazon EFS.

  2. Elimina il file system Amazon EFS.

  3. Eliminare il gruppo di sicurezza personalizzato per il file system.

    avvertimento

    Se hai utilizzato il gruppo di sicurezza predefinito per il tuo VPC, non eliminare tale gruppo di sicurezza.

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Utilizza la console IAM, la AWS CLI o l'API AWS per eliminare il ruolo collegato ai servizi AWSServiceRoleForAmazonElasticFileSystem. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.