Use funções vinculadas ao serviço para o AWS Fault Injection Service - AWS Serviço de injeção de falhas
Permissões de função vinculadas ao serviço para AWS FISCrie uma função vinculada ao serviço para AWS FISEdite uma função vinculada ao serviço para AWS FISExcluir uma função vinculada ao serviço para AWS FISRegiões suportadas por funções vinculadas ao serviço do AWS FIS

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Use funções vinculadas ao serviço para o AWS Fault Injection Service

AWS O Fault Injection Service usa AWS Identity and Access Management (IAM) funções vinculadas ao serviço. Uma função vinculada ao serviço é um tipo exclusivo de IAM função vinculada diretamente a. AWS FIS As funções vinculadas ao serviço são predefinidas AWS FIS e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração AWS FIS porque você não precisa adicionar manualmente as permissões necessárias para gerenciar o monitoramento e a seleção de recursos para experimentos. AWS FISdefine as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS FIS pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra IAM entidade.

Além da função vinculada ao serviço, você também deve especificar uma IAM função que conceda permissão para modificar os recursos que você especifica como alvos em um modelo de experimento. Para obter mais informações, consulte Funções do IAM para experimentos do AWS FIS.

Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus AWS FIS recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Permissões de função vinculadas ao serviço para AWS FIS

AWS FISusa a função vinculada ao serviço nomeada AWSServiceRoleForFISpara permitir que ela gerencie o monitoramento e a seleção de recursos para experimentos.

A função AWSServiceRoleForFISvinculada ao serviço confia nos seguintes serviços para assumir a função:

  • fis.amazonaws.com

A função AWSServiceRoleForFISvinculada ao serviço usa a política gerenciada A. mazonFISService RolePolicy Essa política permite AWS FIS gerenciar o monitoramento e a seleção de recursos para experimentos. Para obter mais informações, consulte A mazonFISService RolePolicy na Referência de política AWS gerenciada.

Você deve configurar permissões para permitir que uma IAM entidade (como um usuário, grupo ou função) crie, edite ou exclua uma função vinculada ao serviço. Para que a função AWSServiceRoleForFISvinculada ao serviço seja criada com êxito, a IAM identidade AWS FIS com a qual você usa deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à IAM identidade.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "fis.amazonaws.com"
                }
            }
        }
    ]
}

Para obter mais informações, consulte Permissões de funções vinculadas ao serviço no Guia do IAMusuário.

Crie uma função vinculada ao serviço para AWS FIS

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você inicia um AWS FIS experimento no AWS Management Console, o, ou o AWS CLI AWS API, AWS FIS cria a função vinculada ao serviço para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você inicia um AWS FIS experimento, AWS FIS cria a função vinculada ao serviço para você novamente.

Edite uma função vinculada ao serviço para AWS FIS

AWS FISnão permite que você edite a função AWSServiceRoleForFISvinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, você pode editar a descrição da função usandoIAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do IAMusuário.

Excluir uma função vinculada ao serviço para AWS FIS

Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de excluí-la manualmente.

nota

Se o AWS FIS serviço estiver usando a função quando você tentar limpar os recursos, a limpeza poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para limpar AWS FIS os recursos usados pelo AWSServiceRoleForFIS

Verifique se nenhum de seus experimentos está sendo executado no momento. Se necessário, interrompa seus experimentos. Para obter mais informações, consulte Interromper um experimento.

Para excluir manualmente a função vinculada ao serviço usando IAM

Use o IAM console AWS CLI, o ou o AWS API para excluir a função AWSServiceRoleForFISvinculada ao serviço. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.

Regiões suportadas por funções vinculadas ao serviço do AWS FIS

AWS FISsuporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Endpoints e cotas do Fault Injection Service AWS.