Função vinculada ao serviço para o Global Accelerator - AWS Global Accelerator
Permissões de função vinculada ao serviço para o Global AcceleratorCriar uma função vinculada ao serviço para o Global AcceleratorEditar a função vinculada ao serviço Global AcceleratorExcluir a função vinculada ao serviço do Global AcceleratorAtualizações de função vinculadas ao serviçoRegiões compatíveis com funções vinculadas ao serviço do Global Accelerator

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Função vinculada ao serviço para o Global Accelerator

O AWS Global Accelerator usa um AWS Identity and Access Management (IAM)Função vinculada ao serviço do. Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a um serviço. As funções vinculadas a serviços são predefinidas pelo serviço e incluem todas as permissões de que ele precisa para chamar outros serviços da AWS; em seu nome.

O Global Accelerator usa a seguinte função vinculada ao serviço do IAM:

  • AWSServiceRoleForGlobalAccelerator—O Global Accelerator usa essa função para permitir que o Global Accelerator crie e gerencie os recursos necessários para a preservação do endereço IP do cliente.

O Global Accelerator cria automaticamente uma função chamada AWSServiceRoleForGlobalAccelerator quando a função é necessária pela primeira vez para dar suporte a uma operação de API do Global Accelerator. A função AWSServiceRoleForGlobalAccelerator permite que o Global Accelerator crie e gerencie os recursos necessários para a preservação do endereço IP do cliente. Essa função é necessária para usar aceleradores no Global Accelerator. O ARN para a função AWSServiceRoleForGlobalAccelerator é semelhante a:

arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator

Uma função vinculada ao serviço facilita a configuração e o uso do Global Accelerator, pois você não precisa adicionar as permissões necessárias manualmente. O Global Accelerator define as permissões da função vinculada ao serviço e apenas o Global Accelerator pode assumir as funções do. As permissões definidas incluem a política de confiança e a política de permissões. A política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você deve remover quaisquer recursos do Global Accelerator associados para poder excluir a função vinculada ao serviço. Isso ajuda a proteger seus recursos do Global Accelerator, certificando-se de não remover uma função vinculada ao serviço que ainda seja necessária para acessar os recursos ativos.

Para obter informações sobre outros serviços que oferecem suporte às funções vinculadas a serviço, consulte Serviços da AWS compatíveis que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Função vinculada ao serviço.

Permissões de função vinculada ao serviço para o Global Accelerator

O Global Accelerator usa uma função vinculada ao serviço chamadaAWSServiceRoleForGlobalAccelerator. As seções a seguir descrevem as permissões para a função.

Permissões de função vinculada ao serviço

Essa função vinculada a serviços permite que o Global Accelerator gerencie interfaces de rede elástica do EC2 e ajude a diagnosticar erros.

A função vinculada ao serviço AWSServiceRoleForGlobalAccelerator confia no seguinte serviço para assumir a função:

  • globalaccelerator.amazonaws.com

A política de permissões da função permite que o Global Accelerator conclua as seguintes ações nos recursos especificados, conforme mostrado na política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}

Você deve configurar permissões para que uma entidade do IAM (como um usuário, grupo ou função) exclua a a função vinculada ao serviço do Global Accelerator. Para obter mais informações, consulte Permissões de função vinculada ao serviço no Guia do usuário do IAM.

Criar uma função vinculada ao serviço para o Global Accelerator

Você não precisa criar manualmente a função vinculada ao serviço para o Global Accelerator. O serviço cria a função para você automaticamente na primeira vez que você cria um acelerador. Se você remover seus recursos do Global Accelerator e excluir a função vinculada ao serviço, o serviço criará a função novamente automaticamente quando você criar um novo acelerador.

Editar a função vinculada ao serviço Global Accelerator

O Global Accelerator não permite editar a função vinculada ao serviço AWSServiceRoleForGlobalAccelerator. Depois que o serviço criar uma função vinculada a serviço, você não poderá alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você poderá editar a descrição de uma função usando o IAM. Para obter mais informações, consulte Editar uma função vinculada ao serviço no Guia do usuário do IAM.

Excluir a função vinculada ao serviço do Global Accelerator

Se você não precisa mais usar um grupo do Global Accelerator, recomendamos que exclua a função vinculada ao serviço. Dessa forma, você não tem entidades não utilizadas que não sejam monitoradas ou mantidas ativamente. No entanto, você deve limpar os recursos da Global Accelerator em sua conta antes de poder excluir manualmente as funções.

Depois de desabilitar e excluir os aceleradores do, você pode excluir a função vinculada ao serviço. Para obter mais informações sobre como excluir aceleradores, consulte Criando ou atualizando um acelerador padrão.

nota

Se você tiver desativado e excluído seus aceleradores, mas o Global Accelerator não tiver concluído a atualização, a exclusão da função vinculada ao serviço poderá falhar. Se isso acontecer, espere alguns minutos e tente as etapas de exclusão de funções vinculadas ao serviço novamente.

Para excluir manualmente a função vinculada ao serviço AWSServiceRoleForGlobalAccelerator

  1. Faça login no Console de Gerenciamento da AWS e abra o console do IAM em https://console.aws.amazon.com/iam/.

  2. No painel de navegação do console do IAM, escolha Roles. Selecione a caixa de marcação ao lado do nome da função que você deseja excluir, não o nome ou a linha em si.

  3. Em ações de Role (Função) na parte superior da página, escolha a função Delete (Excluir).

  4. Na caixa de diálogo de confirmação, revise os dados do último acesso ao serviço, que mostram quando cada uma das funções selecionadas acessou um serviço da AWS pela última vez. Isso ajuda você a confirmar se a função está ativo no momento. Se você deseja continuar, escolha Sim, excluir para enviar a função vinculada ao serviço para exclusão.

  5. Observe as notificações do console do IAM para monitorar o progresso da exclusão da função vinculada ao serviço. Como a exclusão da função vinculada ao serviço do IAM é assíncrona, depois de enviar a função para exclusão, a tarefa de exclusão pode ou não ser bem-sucedida. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Atualizações para a função vinculada ao serviço do Global Accelerator (uma política gerenciada pela AWS)

Exiba detalhes sobre atualizações da função vinculada ao serviço desde que este serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações nesta página, assine o feed RSS no AWS Global AcceleratorHistórico do documento.

Alteração Descrição Data

AWSServiceRoleForGlobalAccelerator— Atualizado

O Global Accelerator adicionou uma nova permissão para ajudar o Global Accelerator a diagnosticar erros.

Global Accelerator usaec2:DescribeRegionspara determinar a região da AWS em que um cliente está, o que pode ajudar o Global Accelerator a solucionar erros.

 18 de maio de 2021

O Global Accelerator começou a acompanhar as alterações

O Global Accelerator começou a rastrear alterações em suas políticas gerenciadas pela AWS.

 18 de maio de 2021

Regiões compatíveis com funções vinculadas ao serviço do Global Accelerator

O Global Accelerator oferece suporte a funções vinculadas a serviços nas regiões da AWS em que o Global Accelerator é compatível com o.

Para obter uma lista das regiões da AWS em que o Global Accelerator e outros serviços são compatíveis com o, consulte aTabela da região da AWS.