Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per Amazon FSx
Amazon FSx utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente ad Amazon FSx. I ruoli collegati ai servizi sono predefiniti da Amazon FSx e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione di Amazon FSx perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Amazon FSx definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo Amazon FSx può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse Amazon FSx perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati al servizio, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano Sì nella colonna Ruoli collegati al servizio. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.
Autorizzazioni di ruolo collegate ai servizi per Amazon FSx
Amazon FSx utilizza due ruoli collegati ai servizi denominati AWSServiceRoleForAmazonFSx
e AWSServiceRoleForFSxS3Access_
che eseguono determinate azioni nel tuo account. Esempi di queste azioni sono la creazione di interfacce di rete elastiche per i tuoi file system nel tuo VPC e l'accesso al tuo repository di dati in un bucket Amazon S3. Infattifs-01234567890
AWSServiceRoleForFSxS3Access_
, questo ruolo collegato al servizio viene creato per ogni file system Amazon FSx for Lustre creato collegato a un bucket S3.fs-01234567890
AWSServiceRoleForAmazonFSx dettagli sulle autorizzazioni
InfattiAWSServiceRoleForAmazonFSx
, la politica di autorizzazione dei ruoli consente ad Amazon FSx di completare le seguenti azioni amministrative per conto dell'utente su tutte le AWS risorse applicabili:
Per gli aggiornamenti a questa politica, consulta AmazonF SxServiceRolePolicy
Nota
AWSServiceRoleForAmazonFSx Viene utilizzato da tutti i tipi di file system Amazon FSx; alcune delle autorizzazioni elencate non sono applicabili a FSx for Lustre.
-
ds
— Consente ad Amazon FSx di visualizzare, autorizzare e non autorizzare le applicazioni nella tua directory. AWS Directory Service -
ec2
— Consente ad Amazon FSx di effettuare le seguenti operazioni:Visualizza, crea e dissocia le interfacce di rete associate a un file system Amazon FSx.
Visualizza uno o più indirizzi IP elastici associati a un file system Amazon FSx.
Visualizza VPC, gruppi di sicurezza e sottoreti Amazon associati a un file system Amazon FSx.
Fornire una convalida avanzata dei gruppi di sicurezza di tutti i gruppi di sicurezza che possono essere utilizzati con un VPC.
Crea un'autorizzazione per un utente AWS autorizzato a eseguire determinate operazioni su un'interfaccia di rete.
-
cloudwatch
— Consente ad Amazon FSx di pubblicare punti dati metrici nello spazio dei nomi /FSx. CloudWatch AWS -
route53
— Consente ad Amazon FSx di associare un Amazon VPC a una zona ospitata privata. -
logs
— Consente ad Amazon FSx di descrivere e scrivere su Logs i flussi di CloudWatch log. In questo modo gli utenti possono inviare i log di controllo degli accessi ai file per un file system FSx for Windows File Server a CloudWatch un flusso Logs. -
firehose
— Consente ad Amazon FSx di descrivere e scrivere sui flussi di distribuzione di Amazon Data Firehose. In questo modo gli utenti possono pubblicare i log di controllo degli accessi ai file per un file system FSx for Windows File Server su un flusso di distribuzione Amazon Data Firehose.
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
Eventuali aggiornamenti a questa politica sono descritti in. Amazon FSx si aggiorna alle AWS policy gestite
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Service-Linked Role Permissions nella IAM User Guide.
AWSServiceRoleForFSxS3Access dettagli sulle autorizzazioni
InfattiAWSServiceRoleForFSxS3Access_
, la politica di autorizzazione dei ruoli consente ad Amazon FSx di completare le seguenti azioni su un bucket Amazon S3 che ospita il repository di dati per un file system Amazon FSx for Lustre.file-system-id
-
s3:AbortMultipartUpload
-
s3:DeleteObject
-
s3:Get*
-
s3:List*
-
s3:PutBucketNotification
-
s3:PutObject
Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Creazione di un ruolo collegato ai servizi per Amazon FSx
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un file system nella AWS Management Console, la o l' AWS API AWS CLI, Amazon FSx crea il ruolo collegato al servizio per te.
Importante
Questo ruolo collegato ai servizi può apparire nell'account se è stata completata un'operazione in un altro servizio che utilizza le funzionalità supportate dal ruolo. Per ulteriori informazioni, consulta Un nuovo ruolo è apparso nel mio account IAM.
Se elimini questo ruolo collegato ai servizi, puoi ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un file system, Amazon FSx crea nuovamente il ruolo collegato al servizio per te.
Modifica di un ruolo collegato ai servizi per Amazon FSx
Amazon FSx non consente di modificare questi ruoli collegati ai servizi. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.
Eliminazione di un ruolo collegato al servizio per Amazon FSx
Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario eliminare tutti i file system e i backup prima di poter eliminare manualmente il ruolo collegato al servizio.
Nota
Se il servizio Amazon FSx utilizza il ruolo quando tenti di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM, la CLI IAM o l'API IAM per eliminare il ruolo collegato al AWSServiceRoleForAmazonFSx servizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.
Regioni supportate per i ruoli collegati ai servizi Amazon FSx
Amazon FSx supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Per ulteriori informazioni, consulta Regioni ed endpoint di AWS.