As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar perfis vinculados a serviço do AWS Directory Service
AWS Directory Service usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. AWS Directory Service As funções vinculadas ao serviço são predefinidas AWS Directory Service e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço facilita a configuração AWS Directory Service porque você não precisa adicionar manualmente as permissões necessárias. AWS Directory Service define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Directory Service pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Você só pode excluir um perfil vinculado a serviço depois de excluir os recursos relacionados. Isso evita que você perca o acesso aos seus AWS Directory Service recursos porque você não pode remover inadvertidamente as permissões de acesso aos recursos.
Para obter informações sobre outros produtos que oferecem suporte a funções vinculadas a serviços, consulte Serviços da AWS que funcionam com o IAM.
Tópicos
Permissões de função vinculadas ao serviço para AWS Directory Service
Criação de uma função vinculada ao serviço para AWS Directory Service
Editando uma função vinculada ao serviço para AWS Directory Service
Excluindo uma função vinculada ao serviço para AWS Directory Service
Regiões suportadas para funções vinculadas a AWS Directory Service serviços
Permissões de função vinculadas ao serviço para AWS Directory Service
AWS Directory Service usa a função vinculada ao serviço chamada AWSServiceRoleForDirectoryService— Permite monitorar os controladores AWS de domínio autogerenciados do cliente.
O perfil vinculado ao serviço AWSServiceRoleForDirectoryService confia nos seguintes serviços para aceitar o perfil:
-
ds.amazonaws.com
A política de permissões de função nomeada AWSDirectory ServiceServiceRolePolicy AWS Directory Service permite concluir as seguintes ações nos recursos especificados. Para obter as permissões completas da política, consulte AWSDirectoryServiceServiceRolePolicya Referência de política AWS gerenciada.
-
ec2— Permite que o serviço descreva recursos de rede VPCs, como sub-redes, grupos de segurança e interfaces de rede, para validar as configurações de conectividade híbrida:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— Permite que o serviço envie e monitore PowerShell guilabels para controladores de domínio locais para fins de monitoramento e avaliação:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.
Criação de uma função vinculada ao serviço para AWS Directory Service
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você permite AWS monitorar os controladores de domínio autogerenciados do cliente na AWS Management Console, na ou na AWS API AWS CLI, AWS Directory Service cria a função vinculada ao serviço para você. Para obter mais informações sobre essa alteração, consulte Atualizações da política.
Importante
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o AWS Directory Service serviço antes de 1º de janeiro de 2017, quando ele começou a oferecer suporte a funções vinculadas ao serviço, AWS Directory Service criou a AWSServiceRoleForDirectoryServicefunção em sua conta. Para saber mais, consulte Uma nova função apareceu no meu Conta da AWS.
Editando uma função vinculada ao serviço para AWS Directory Service
AWS Directory Service não permite que você edite a função AWSServiceRoleForDirectoryServicevinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Excluindo uma função vinculada ao serviço para AWS Directory Service
Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.
nota
Se o AWS Directory Service serviço estiver usando a função no momento em que você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir AWS Directory Service recursos usados pelo AWSService RoleForDirectoryService
-
Para excluir seu diretório, consulteExcluindo seu Microsoft AWS AD gerenciado.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForDirectoryServicevinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões suportadas para funções vinculadas a AWS Directory Service serviços
AWS Directory Service não oferece suporte ao uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. No entanto, AWS Directory Service usa a AWSServiceRoleForDirectoryServicefunção somente Regiões da AWS quando você pode optar por diretórios híbridos.
| Nome da região | Identidade da região | suporte opcional |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| Europa (Estocolmo) | eu-north-1 | Sim |
| Oriente Médio (Barém) | me-south-1 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim |
| África (Cidade do Cabo) | af-south-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | Sim |
| Europa (Milão) | eu-south-1 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Europa (Espanha) | eu-south-2 | Sim |
| Europa (Zurique) | eu-central-2 | Sim |
