Usar funções vinculadas ao serviço do Amazon Route 53 Resolver - Amazon Route 53
Permissões de função vinculada ao produto do ResolverCriar uma função vinculada ao produto para o ResolverComo editar uma função vinculada ao produto para o ResolverComo excluir uma função vinculada ao produto do ResolverRegiões com suporte a funções vinculadas a produto do Resolver

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar funções vinculadas ao serviço do Amazon Route 53 Resolver

O Route 53 Resolver usa funções vinculadas ao produto do AWS Identity and Access Management (IAM). A função vinculada ao produto é um tipo exclusivo de função do IAM vinculada diretamente ao Resolver. As funções vinculadas a produtos são predefinidas pelo Resolver e incluem todas as permissões que o produto requer para chamar outros produtos da AWS em seu nome.

Uma função vinculada ao produto facilita a configuração do Resolver porque você não precisa adicionar as permissões necessárias manualmente. O Resolver define as permissões das funções vinculadas ao produto e, exceto se definido de outra forma, somente o Resolver pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir uma função vinculada ao serviço somente depois de excluir os recursos relacionados da Isso protege seus recursos do Resolver, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte o tópico sobre Serviços da AWS compatíveis com o IAM e procure serviços que tenham Yes (Sim) na coluna Service-Linked Role (Função vinculada a serviço). Escolha um Sim com um link para exibir a documentação da função vinculada a serviço desse serviço.

Permissões de função vinculada ao produto do Resolver

O Resolver usa a função vinculada ao produto da AWSServiceRoleForRoute53Resolver para entregar logs de consulta em seu nome.

A política de permissões da função permite que o Resolver conclua as seguintes ações em todos os recursos:

{
  "Version": "2012-10-17",
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups",
        "s3:GetBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de função vinculada ao serviço no Guia do usuário do IAM.

Criar uma função vinculada ao produto para o Resolver

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma associação de configuração de log de consulta do resolvedor no console do Amazon Route 53, a AWS CLI, ou o API da AWS, o Resolver cria uma função vinculada ao produto para você.

Importante

Essa função vinculada ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os recursos compatíveis com essa função. Além disso, se você estava usando o produto do Resolver antes de 12 de agosto de 2020 quando ele começou a oferecer suporte às funções vinculadas ao produto, o Resolver criou a função AWSServiceRoleForRoute53Resolver em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria uma associação de configuração de log de consulta do Resolver, a função vinculada ao produto do AWSServiceRoleForRoute53Resolver é criada para você novamente.

Como editar uma função vinculada ao produto para o Resolver

O Resolver não permite que você edite a função vinculada ao produto AWSServiceRoleForRoute53Resolver. Depois que criar uma função vinculada ao serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada ao serviço no Guia do usuário do IAM.

Como excluir uma função vinculada ao produto do Resolver

Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o produto do Resolver estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir recursos do Resolver usados pelo AWSServiceRoleForRoute53Resolver

  1. Faça login no AWS Management Console e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. Expanda o menu do console do Route 53. No canto superior esquerdo do console, escolha o ícone de três barras horizontais ( Menu icon ).

  3. No menu do Resolver, escolha Query logging (Log de consultas).

  4. Marque a caixa de seleção ao lado do nome da configuração do log de consultas e escolha Delete (Excluir).

  5. Na caixa de texto Delete query logging configuration (Excluir configuração de log de consultas), selecione Stop logging queries (Interromper consultas de log).

    Isso desassociará a configuração da VPC. Você também pode desassociar a configuração de log de consulta de forma programada. Para obter mais informações, consulte disassociate-resolver-query-log-config.

  6. Depois que as consultas de log forem interrompidas, você poderá digitar opcionalmente delete no campo e escolher Delete (Excluir) para excluir a configuração do log de consultas. No entanto, isso não é necessário para excluir os recursos usados pelo AWSServiceRoleForRoute53Resolver.

Como excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForRoute53Resolver. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões com suporte a funções vinculadas a produto do Resolver

O Resolver não oferece suporte ao uso de funções vinculadas a produtos em todas as regiões em que o produto está disponível. Você pode usar a função AWSServiceRoleForRoute53Resolver nas seguintes regiões.

Nome da região Identidade da região Suporte no Resolver
Leste dos EUA (N. da Virgínia) us-east-1 Sim
Leste dos EUA (Ohio) us-east-2 Sim
Oeste dos EUA (N. da Califórnia) us-west-1 Sim
Oeste dos EUA (Oregon) us-west-2 Sim
Ásia-Pacífico (Mumbai) ap-south-1 Sim
Asia Pacific (Osaka) ap-northeast-3 Sim
Ásia-Pacífico (Seul) ap-northeast-2 Sim
Ásia-Pacífico (Singapura) ap-southeast-1 Sim
Ásia-Pacífico (Sydney) ap-southeast-2 Sim
Ásia-Pacífico (Tóquio) ap-northeast-1 Sim
Canadá (Central) ca-central-1 Sim
Europa (Frankfurt) eu-central-1 Sim
Europa (Irlanda) eu-west-1 Sim
Europa (Londres) eu-west-2 Sim
Europa (Paris) eu-west-3 Sim
América do Sul (São Paulo) sa-east-1 Sim
China (Pequim) cn-north-1 Sim
China (Ningxia) cn-northwest-1 Sim
AWS GovCloud (US) us-gov-east-1 Sim
AWS GovCloud (US) us-gov-west-1 Sim