Utilizzo di ruoli collegati ai servizi per Neptune - Amazon Neptune
Autorizzazioni del ruoloCreazione di un ruolo collegato ai serviziModificare un ruolo collegato ai serviziEliminazione del ruolo collegato ai servizi

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Neptune

Amazon Neptune AWS Identity and Access Management utilizza ruoli collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo di ruolo IAM univoco collegato direttamente a Neptune. I ruoli collegati ai servizi sono predefiniti da Neptune e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Importante

Per alcune funzionalità di gestione, Amazon Neptune utilizza la tecnologia operativa condivisa con Amazon RDS. Questo include il ruolo collegato ai servizi e le autorizzazioni API di gestione.

Un ruolo collegato ai servizi semplifica l'uso di Neptune perché non sarà più necessario aggiungere manualmente le autorizzazioni necessarie. Neptune definisce le autorizzazioni dei relativi ruoli collegati ai servizi e, salvo diversamente definito, solo Neptune potrà assumere i propri ruoli. Le autorizzazioni definite includono la policy di trust e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

È possibile eliminare i ruoli solo dopo aver eliminato le risorse correlate. Questa procedura protegge le risorse di Neptune perché impedisce la rimozione involontaria delle autorizzazioni di accesso alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Neptune

Neptune utilizza AWSServiceRoleForRDS il ruolo collegato ai servizi per consentire a Neptune e Amazon AWS RDS di chiamare i servizi per conto delle tue istanze di database. Ai fini dell'assunzione del ruolo AWSServiceRoleForRDS, il ruolo collegato ai servizi rds.amazonaws.comconsidera attendibile il servizio.

La policy delle autorizzazioni del ruolo consente a Neptune di completare le seguenti azioni sulle risorse specificate:

  • Operazioni su ec2:

    • AssignPrivateIpAddresses

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeInternetGateways

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcAttribute

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

    • UnassignPrivateIpAddresses

  • Operazioni su sns:

    • ListTopic

    • Publish

  • Operazioni su cloudwatch:

    • PutMetricData

    • GetMetricData

    • CreateLogStream

    • PullLogEvents

    • DescribeLogStreams

    • CreateLogGroup

Nota

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Potrebbe essere visualizzato il messaggio di errore seguente:

Unable to create the resource. (Impossibile creare la risorsa. Verify that you have permission to create service linked role. (Verifica di possedere le autorizzazioni necessarie per creare un ruolo collegato ai servizi.) Otherwise wait and try again later. (In caso contrario, attendi e riprova più tardi.

Se viene visualizzato questo messaggio, assicurati che le autorizzazioni seguenti siano abilitate: 

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per Neptune

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un'istanza o un cluster, Neptune crea il ruolo collegato ai servizi per te.

Importante

Per ulteriori informazioni, consulta Comparsa di un nuovo ruolo nell'account IAM nella Guida per l'utente di IAM.

Se devi ricreare un ruolo collegato ai servizi che hai precedentemente eliminato, puoi utilizzare lo stesso processo per ricreare il ruolo nel tuo account. Quando crei un'istanza o un cluster, Neptune crea di nuovo il ruolo collegato ai servizi per te.

Modifica di un ruolo collegato ai servizi per Neptune

Neptune non consente di modificare il ruolo collegato ai servizi AWSServiceRoleForRDS. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Neptune

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, prima di poter eliminare il ruolo collegato ai servizi associato, devi eliminare tutte le istanze e tutti i cluster.

Pulizia di un ruolo collegato ai servizi prima dell'eliminazione

Prima di utilizzare IAM per eliminare un ruolo collegato ai servizi, devi innanzitutto verificare che il ruolo non abbia sessioni attive ed eliminare tutte le risorse utilizzate dal ruolo.

Per verificare se il ruolo collegato ai servizi dispone di una sessione attiva nella console IAM

  1. Accedi e apri la console IAM all'indirizzo https://console.aws.amazon.com/iam/. AWS Management Console

  2. Nel pannello di navigazione della console IAM seleziona Ruoli. Quindi, scegli il nome (non la casella di controllo) del ruolo AWSServiceRoleForRDS.

  3. Nella pagina Summary (Riepilogo) per il ruolo selezionato, scegliere la scheda Access Advisor (Consulente accessi).

  4. Nella scheda Access Advisor (Consulente accessi), esamina l'attività recente per il ruolo collegato ai servizi.

    Nota

    Se non si ha la certezza che Neptune stia utilizzando il ruolo AWSServiceRoleForRDS, è possibile provare a eliminarlo. Se il servizio sta utilizzando il ruolo, l'eliminazione non andrà a buon fine e potrai visualizzare le regioni in cui il ruolo viene utilizzato. Se il ruolo è in uso, prima di poterlo eliminare dovrai attendere il termine della sessione. Non puoi revocare la sessione per un ruolo collegato al servizio.

Se desideri rimuovere il ruolo AWSServiceRoleForRDS, devi prima eliminare tutti i cluster e le istanze.

Eliminazione di tutte le istanze

Utilizza una di queste procedure per eliminare ogni istanza.

Per eliminare un'istanza (console)

  1. Apri la console Amazon RDS all'indirizzo https://console.aws.amazon.com/rds/.

  2. Nel riquadro di navigazione, seleziona Istanze.

  3. Nell'elenco Instances (Istanze), scegliere l'istanza da eliminare.

  4. Scegli Instance actions (Operazioni istanza) e quindi Delete (Elimina).

  5. Se viene visualizzato il messaggio Create final Snapshot? (Creare snapshot finale?), scegliere Yes (Sì) o No.

  6. Se si sceglie Yes (Sì) nella fase precedente, in Final snapshot name (Nome snapshot finale) immettere il nome dell'ultimo snapshot.

  7. Scegliere Delete (Elimina).

Per eliminare un'istanza AWS CLI

Consulta delete-db-instance in Riferimento ai comandi AWS CLI .

Per eliminare un'istanza (API)

Per informazioni, consulta DeleteDBInstance.

Eliminazione di tutti i cluster

Utilizza una delle procedure seguenti per eliminare un singolo cluster, quindi ripeti la procedura per ogni cluster.

Per eliminare un cluster (console)

  1. Accedi alla console di AWS gestione e apri la console Amazon Neptune all'indirizzo https://console.aws.amazon.com/neptune/home.

  2. Nell'elenco Clusters (Cluster), scegliere il cluster da eliminare.

  3. Scegliere Cluster Actions (Operazioni cluster) e successivamente Delete (Elimina).

  4. Scegliere Delete (Elimina).

Per eliminare un cluster (CLI)

Consulta delete-db-cluster in Riferimento ai comandi AWS CLI .

Per eliminare un cluster (API)

Per informazioni, consultare DeleteDBCluster.

Per eliminare il ruolo collegato ai servizi AWSServiceRoleForRDS, puoi utilizzare la console IAM, l'interfaccia a riga di comando IAM o l'API IAM. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente di IAM.