Utilizzo di ruoli collegati ai servizi per Storage Gateway - AWSStorage Gateway

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Storage Gateway

Utilizzo Storage GatewayAWS Identity and Access Management(IAM)ruoli collegati ai servizi. Un ruolo collegato ai servizi è un tipo univoco di ruolo IAM collegato direttamente a Storage Gateway. I ruoli collegati ai servizi sono definiti automaticamente da Storage Gateway e includono tutte le autorizzazioni richieste dal servizio per eseguire chiamate agli altri.AWSservizi per tuo conto.

Un ruolo collegato ai servizi semplifica la configurazione di Storage Gateway perché permette di evitare l'aggiunta manuale delle autorizzazioni necessarie. Storage Gateway definisce le autorizzazioni dei relativi ruoli associati ai servizi e, salvo diversamente definito, solo Storage Gateway potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo associato ai servizi. Scegliere un link Yes (Sì) per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Storage Gateway

Storage Gateway utilizza il ruolo collegato ai servizi denominatoRuolo del servizio AWS per Storage Gateway— Ruolo del servizio AWS per Storage Gateway.

Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForStorageGateway considera attendibili i seguenti servizi:

  • storagegateway.amazonaws.com

La policy delle autorizzazioni del ruolo consente a Storage Gateway di eseguire le seguenti operazioni sulle risorse specificate:

  • Operazione: fsx:ListTagsForResource su arn:aws:fsx:*:*:backup/*

Devi configurare le autorizzazioni per consentire a un'entità IAM (ad esempio un utente, un gruppo o un ruolo) di creare e modificare un ruolo collegato ai servizi. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per Storage Gateway

Non devi creare manualmente un ruolo collegato ai servizi. Quando si crea uno Storage GatewayAssociateFileSystemChiamata API nellaAWS Management Console, ilAWS CLI, o ilAWSAPI, Storage Gateway crea automaticamente il ruolo collegato ai servizi.

Importante

Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se si utilizzava il servizio Storage Gateway prima del 31 marzo 2021, quando ha iniziato a supportare i ruoli collegati ai servizi, Storage Gateway ha creato il ruolo AWSServiceRoleForStorageGateway nell'account. Per ulteriori informazioni, consulta Un nuovo ruolo è apparso nel mio account IAM.

Se si elimina questo ruolo collegato ai servizi e quindi deve essere creato di nuovo, è possibile utilizzare lo stesso processo per ricreare il ruolo nell'account. Quando si crea uno Storage GatewayAssociateFileSystemChiamata API, Storage Gateway crea nuovamente il ruolo collegato ai servizi per conto tuo.

Puoi utilizzare la console IAM anche per creare un ruolo collegato ai servizi conRuolo del servizio AWS per Storage Gatewaycaso d'uso. In AWS CLI o in AWS API, crea un ruolo collegato ai servizi con il nome di servizio storagegateway.amazonaws.com. Per ulteriori informazioni, consulta Creazione di un ruolo collegato ai servizi nella Guida per l'utente IAM. Se elimini il ruolo collegato ai servizi, puoi utilizzare lo stesso processo per crearlo nuovamente.

Modifica di un ruolo collegato ai servizi per Storage Gateway

Storage Gateway non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForStorageGateway. Dopo aver creato un ruolo collegato ai servizi, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Storage Gateway

Storage Gateway non elimina automaticamente il ruolo AWSServiceRoleForStorageGateway. Per eliminare il ruolo AWSServiceRoloforStorageGateway, è necessario richiamare il ruoloiam:DeleteSLRAPI. Se non ci sono risorse gateway di storage che dipendono dal ruolo collegato al servizio, l'eliminazione avrà esito positivo, altrimenti l'eliminazione avrà esito negativo. Se si desidera eliminare il ruolo collegato al servizio, è necessario utilizzare le API IAMiam:DeleteRoleoiam:DeleteServiceLinkedRole. In questo caso, è necessario utilizzare le API Storage Gateway per eliminare innanzitutto eventuali gateway o associazioni di file system nell'account, quindi eliminare il ruolo collegato al servizio utilizzandoiam:DeleteRoleoiam:DeleteServiceLinkedRoleAPI. Quando si elimina il ruolo collegato al servizio utilizzando IAM, è necessario utilizzare Storage GatewayDisassociateFileSystemAssociationAPI innanzitutto per eliminare tutte le associazioni di file system nell'account. In caso contrario, l'operazione di eliminazione avrà esito negativo.

Nota

Se il servizio Storage Gateway utilizza tale ruolo quando tenti di eliminare le risorse, è possibile che l'eliminazione non abbia esito positivo. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse di Storage Gateway utilizzate da AWSServiceRoleForStorageGateway
  1. Utilizza la nostra console di servizio, CLI o API per effettuare una chiamata che pulisce le risorse ed elimina il ruolo o utilizza la console IAM, la CLI o l'API per eseguire l'eliminazione. In questo caso, è necessario utilizzare le API Storage Gateway per eliminare innanzitutto i gateway e le associazioni di file system nell'account.

  2. Se si utilizza la console IAM, CLI o l'API, elimina il ruolo collegato ai servizi tramite IAMDeleteRoleoDeleteServiceLinkedRoleAPI.

Per eliminare manualmente il ruolo collegato ai servizi utilizzando IAM

Utilizzare la console IAM,AWS CLI, o ilAWSAPI per eliminare il ruolo collegato al servizio AWSServiceRoleForStorageGateway. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Regioni supportate per i ruoli collegati ai servizi Storage Gateway

Storage Gateway supporta l'utilizzo di ruoli collegati ai servizi in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Endpoint del servizio AWS.

Storage Gateway non supporta l'utilizzo di ruoli collegati ai servizi in ogni regione nella quale il servizio è disponibile. Puoi utilizzare il ruolo AWSServiceRoleForStorageGateway nelle seguenti regioni.

Nome regione Identità della regione Support in Storage Gateway
US East (N. Virginia) us-east-1
US East (Ohio) us-east-2
Stati Uniti occidentali (California settentrionale) us-west-1
US West (Oregon) us-west-2
Asia Pacifico (Mumbai) ap-south-1
Asia Pacifico (Osaka) ap-northeast-3
Asia Pacifico (Seoul) ap-northeast-2
Asia Pacific (Singapore) ap-southeast-1
Asia Pacific (Sydney) ap-southeast-2
Asia Pacific (Tokyo) ap-northeast-1
Canada (Centrale) ca-central-1
Europa (Francoforte) eu-central-1
Europe (Ireland) eu-west-1
Europa (Londra) eu-west-2
Europa (Parigi) eu-west-3
South America (São Paulo) sa-east-1
AWS GovCloud (US) us-gov-west-2