Funções vinculadas a serviços para AWS Outposts

AWS Outposts usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo de função de serviço vinculada diretamente a. AWS Outposts AWS Outposts define funções vinculadas ao serviço e inclui todas as permissões necessárias para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço torna sua configuração AWS Outposts mais eficiente, pois você não precisa adicionar manualmente as permissões necessárias. AWS Outposts define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Outposts pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus AWS Outposts recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Permissões de função vinculadas ao serviço para AWS Outposts

AWS Outposts usa a função vinculada ao serviço chamada AWSServiceRoleForOutposts_ OutpostID — Permite que Outposts acessem AWS recursos para conectividade privada em seu nome. Essa função vinculada ao serviço permite a configuração de conectividade privada, cria interfaces de rede e anexa-as às instâncias de endpoint do link de serviço.

A função OutpostID vinculada ao serviço AWSService RoleForOutposts _ confia nos seguintes serviços para assumir a função:

• outposts.amazonaws.com

A função OutpostID vinculada ao serviço AWSServiceRoleForOutposts_ inclui as seguintes políticas:

• AWSOutpostsServiceRolePolicy

• AWSOutpostsPrivateConnectivityPolicy_OutpostID

A AWSOutpostsServiceRolePolicypolítica é uma política de função vinculada a serviços para permitir o acesso aos AWS recursos gerenciados pelo. AWS Outposts

Essa política permite AWS Outposts concluir as seguintes ações nos recursos especificados:

• Ação: ec2:DescribeNetworkInterfaces em all AWS resources

• Ação: ec2:DescribeSecurityGroups em all AWS resources

• Ação: ec2:CreateSecurityGroup em all AWS resources

• Ação: ec2:CreateNetworkInterface em all AWS resources

A OutpostID política AWSOutpostsPrivateConnectivityPolicy_ AWS Outposts permite concluir as seguintes ações nos recursos especificados:

• Ação: ec2:AuthorizeSecurityGroupIngress em all AWS resources that match the following Condition:

  { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

• Ação: ec2:AuthorizeSecurityGroupEgress em all AWS resources that match the following Condition:

  { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

• Ação: ec2:CreateNetworkInterfacePermission em all AWS resources that match the following Condition:

  { "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}

• Ação: ec2:CreateTags em all AWS resources that match the following Condition:

  { "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Crie uma função vinculada ao serviço para AWS Outposts

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você configura a conectividade privada para seu Outpost no AWS Management Console, AWS Outposts cria a função vinculada ao serviço para você.

Para obter mais informações, consulte Opções de conectividade privada do Service Link.

Edite uma função vinculada ao serviço para AWS Outposts

AWS Outposts não permite que você edite a função OutpostID vinculada ao serviço AWSService RoleForOutposts _. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Atualizar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para AWS Outposts

Se você não precisar mais usar um recurso ou um serviço que requer uma função vinculada ao serviço, é recomendável excluí-la. Dessa forma, você evita ter uma entidade não utilizada que não seja monitorada ou mantida ativamente. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

Se o AWS Outposts serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Você deve excluir seu Outpost antes de excluir a função vinculada ao OutpostID serviço AWSService RoleForOutposts _.

Antes de começar, certifique-se de que seu Outpost não esteja sendo compartilhado usando AWS Resource Access Manager (AWS RAM). Para obter mais informações, consulte Cancelamento do compartilhamento de um recurso compartilhado do Outpost.

Para excluir AWS Outposts recursos usados pelo AWSService RoleForOutposts _ OutpostID

Entre em contato com o AWS Enterprise Support para excluir seu Outpost.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas a AWS Outposts serviços

AWS Outposts suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte os racks do FAQs Outposts e os servidores do Outposts.