Utilizzo di ruoli collegati ai servizi per Amazon EFS

Amazon Elastic File System utilizza un ruolo collegato al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un tipo di ruolo IAM univoco collegato direttamente ad Amazon EFS. Il ruolo predefinito collegato al servizio Amazon EFS include le autorizzazioni richieste dal servizio per chiamare altri Servizi AWS utenti per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di Amazon EFS perché consente di evitare l'aggiunta manuale delle autorizzazioni necessarie. Amazon EFS definisce le autorizzazioni dei ruoli collegati al servizio e solo Amazon EFS può assumere i suoi ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere collegata a nessun'altra entità IAM.

È possibile eliminare il ruolo collegato ai servizi Amazon EFS solo dopo aver eliminato il file system Amazon EFS. Questa procedura protegge le risorse di Amazon EFS perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Il ruolo collegato al servizio consente di rendere visibili tutte le chiamate API. AWS CloudTrail In questo modo il monitoraggio e i requisiti di controllo sono più semplici perché è possibile tenere traccia di tutte le azioni che Amazon EFS esegue a tuo nome. Per ulteriori informazioni, consulta Voci di log per ruoli collegati ai servizi EFS.

Autorizzazioni del ruolo collegato ai servizi per Amazon EFS

Amazon EFS utilizza il ruolo collegato al servizio denominato AWSServiceRoleForAmazonElasticFileSystem per consentire ad Amazon EFS di chiamare e gestire AWS risorse per conto dei tuoi file system EFS.

Il ruolo AWSService RoleForAmazonElasticFileSystem collegato al servizio prevede che i seguenti servizi assumano il ruolo:

• elasticfilesystem.amazonaws.com

La policy delle autorizzazioni del ruolo consente ad Amazon EFS di eseguire le seguenti operazioni:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "*"
        }
    ]
}

Nota

È necessario configurare manualmente le autorizzazioni IAM per AWS KMS quando si crea un nuovo file system Amazon EFS crittografato a riposo. Per ulteriori informazioni, consulta Crittografia dei dati a riposo.

Creazione di un ruolo collegato ai servizi per Amazon EFS

Devi configurare le autorizzazioni per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di creare o eliminare un ruolo collegato ai servizi. Per fare ciò, aggiungi l’autorizzazione iam:CreateServiceLinkedRole a un'entità IAM, come visualizzato nell'esempio seguente.

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "*",
    "Condition": {
        "StringEquals": {
            "iam:AWSServiceName": [
                "elasticfilesystem.amazonaws.com"
            ]
        }
    }
}

Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei obiettivi di montaggio o una configurazione di replica per il tuo file system EFS nell'API AWS Management Console AWS CLI, nella o nell' AWS API, Amazon EFS crea il ruolo collegato al servizio per te.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei target di montaggio o una configurazione di replica per il tuo file system EFS, Amazon EFS crea il ruolo collegato al servizio per te.

Modifica di un ruolo collegato ai servizi per Amazon EFS

Amazon EFS non consente di modificare il ruolo collegato al servizio AWSServiceRoleForAmazonElasticFileSystem. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Amazon EFS

Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.

Nota

Se il servizio Amazon EFS utilizza tale ruolo quando provi a eliminare le risorse, è possibile che l'eliminazione non riesca. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse Amazon EFS utilizzate da AWSService RoleForAmazonElasticFileSystem

Completa i seguenti passaggi per eliminare le risorse Amazon EFS utilizzate da AWSServiceRoleForAmazonElasticFileSystem. Per la procedura dettagliata, consulta Pulisci le risorse e proteggi il tuo account AWS.

1. Sulla tua EC2 istanza Amazon, smonta il file system Amazon EFS.

2. Elimina il file system Amazon EFS.

3. Elimina il gruppo di sicurezza personalizzato per il file system.

   avvertimento

   Se hai utilizzato il gruppo di sicurezza predefinito per VPC, non eliminare quel gruppo di sicurezza.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al AWSService RoleForAmazonElasticFileSystem servizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.