As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar perfis vinculados a serviços para Neptune
O Amazon Neptune AWS Identity and Access Management usa funções vinculadas a serviços (IAM). A função vinculada ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Neptune. As funções vinculadas ao serviço são predefinidas pelo Neptune e incluem todas as permissões que o serviço exige para chamar outros serviços em seu nome. AWS
Importante
Para determinados atributos de gerenciamento, o Amazon Neptune usa tecnologia operacional compartilhada com o Amazon RDS. Isso inclui a Função vinculada ao serviço e permissões da API de gerenciamento.
Um perfil vinculado ao serviço facilita a configuração do Neptune porque você não precisa adicionar as permissões necessárias manualmente. O Neptune define as permissões dos perfis vinculados a serviços e, exceto se definido de outra forma, somente o Neptune pode assumir os perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.
É possível excluir as funções somente depois de primeiro excluir seus recursos relacionados. Isso protege os recursos do Neptune, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte AWS Services That Work with IAM e procure os serviços que contêm Yes na coluna Service-Linked Role. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de perfil vinculado ao serviço para Neptune
O Neptune usa AWSServiceRoleForRDS a função vinculada ao serviço para permitir que o Neptune e o Amazon AWS RDS chamem serviços em nome de suas instâncias de banco de dados. A função vinculada ao serviço AWSServiceRoleForRDS confia no serviço rds.amazonaws.com para presumir a função.
A política de permissões do perfil permite que o Neptune conclua as seguintes ações nos recursos especificados:
-
Ações em
ec2:AssignPrivateIpAddressesAuthorizeSecurityGroupIngressCreateNetworkInterfaceCreateSecurityGroupDeleteNetworkInterfaceDeleteSecurityGroupDescribeAvailabilityZonesDescribeInternetGatewaysDescribeSecurityGroupsDescribeSubnetsDescribeVpcAttributeDescribeVpcsModifyNetworkInterfaceAttributeRevokeSecurityGroupIngressUnassignPrivateIpAddresses
-
Ações em
sns:ListTopicPublish
-
Ações em
cloudwatch:PutMetricDataGetMetricDataCreateLogStreamPullLogEventsDescribeLogStreamsCreateLogGroup
nota
É necessário configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado ao serviço. Você pode encontrar a seguinte mensagem de erro:
Impossível criar o recurso. Você se você tem permissão para criar o perfil vinculado ao serviço. Caso contrário, aguarde e tente novamente mais tarde.
Se essa mensagem for exibida, verifique se você tem as seguintes permissões habilitadas:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }
Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.
Criar um perfil vinculado ao serviço para Neptune
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você cria uma instância ou um cluster, o Neptune cria um perfil vinculado a serviço para você.
Importante
Para saber mais, consulte A New Role Appeared in My IAM Account no Guia do usuário do IAM.
Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Quando você cria uma instância ou um cluster, o Neptune cria o perfil vinculado ao serviço novamente.
Editar um perfil vinculado ao serviço para Neptune
O Neptune não permite editar o perfil vinculada ao serviço AWSServiceRoleForRDS. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Excluir um perfil vinculado ao serviço para Neptune
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. Contudo, você deve excluir todas as suas instâncias e clusters para poder excluir a função vinculada a serviço associada.
Limpeza de uma função vinculada a serviço antes da exclusão
Antes de você poder usar o IAM para excluir uma função vinculada ao serviço, você deve primeiro confirmar que a função não tem sessões ativas e remover quaisquer recursos usados pela função.
Para verificar se a função vinculada ao serviço tem uma sessão ativa no console do IAM
Faça login AWS Management Console e abra o console do IAM em https://console.aws.amazon.com/iam/
. No painel de navegação do console do IAM, escolha Funções. A seguir, selecione o nome (não a caixa de seleção) da função
AWSServiceRoleForRDS.Na página Resumo para a função selecionada, escolha a guia Consultor de Acesso.
-
Na guia Consultor de Acesso, revise a atividade recente para a função vinculada ao serviço.
nota
Se não tiver certeza se o Neptune está usando o perfil
AWSServiceRoleForRDS, você poderá tentar excluir o perfil. Se o serviço estiver usando a função, a exclusão falhará e você poderá visualizar as regiões da em que a função está sendo usada. Se a função está sendo usada, você deve aguardar a sessão final antes de excluir a função. Não é possível revogar a sessão de uma função vinculada a um serviço.
Se deseja remover a função AWSServiceRoleForRDS, você deve primeiro excluir todas as suas instâncias e clusters.
Exclusão de todas as instâncias
Use um destes procedimentos para excluir cada uma de suas instâncias.
Para excluir uma instância (console)
-
Abra o console do Amazon RDS em https://console.aws.amazon.com/rds/
. No painel de navegação, escolha Instâncias.
Na lista Instances, escolha a instância que você deseja excluir.
Escolha Instance actions e, em seguida, escolha Delete.
Se for exibido Create final Snapshot? (Criar snapshot final?), escolha Yes (Sim) ou No (Não).
Se você escolher Yes (Sim) na etapa anterior, em Final snapshot name (Nome do snapshot final), digite o nome do snapshot final.
Escolha Excluir.
Como excluir uma instância (AWS CLI)
Consulte delete-db-instance no AWS CLI Command Reference.
Para excluir uma instância (API)
Consulte DeleteDBInstance.
Exclusão de todos os clusters
Siga um destes procedimentos para excluir um único cluster e, depois, repita o procedimento para cada um dos seus clusters.
Para excluir um cluster (console)
Na lista Clusters, escolha o cluster que você deseja excluir.
Escolha Ações de cluster e Excluir.
Escolha Excluir.
Para excluir um cluster (CLI)
Consulte delete-db-cluster no AWS CLI Command Reference.
Para excluir um cluster (API)
Consulte DeleteDBCluster
É possível usar o console, a CLI ou a API do IAM para excluir o perfil vinculado ao serviço AWSServiceRoleForRDS. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
