As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções vinculadas a serviços para AWS Outposts
AWS Outposts usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo de função de serviço vinculada diretamente a. AWS Outposts AWS Outposts define funções vinculadas ao serviço e inclui todas as permissões necessárias para chamar outros AWS serviços em seu nome.
Uma função vinculada ao serviço torna sua configuração AWS Outposts mais eficiente, pois você não precisa adicionar manualmente as permissões necessárias. AWS Outposts define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só AWS Outposts pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.
Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus AWS Outposts recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.
Permissões de função vinculadas ao serviço para AWS Outposts
AWS Outposts usa a função vinculada ao serviço chamada AWSService RoleForOutposts _. OutpostID Essa função concede ao Outposts permissões para gerenciar recursos de rede para permitir a conectividade privada em seu nome. Essa função também permite que o Outposts crie e configure interfaces de rede, gerencie grupos de segurança e anexe interfaces às instâncias de endpoint do service link. Essas permissões são necessárias para estabelecer e manter a conexão segura e privada entre o Outpost local e os AWS serviços, garantindo a operação confiável da implantação do Outpost.
A função OutpostID vinculada ao serviço AWSService RoleForOutposts _ confia nos seguintes serviços para assumir a função:
-
outposts.amazonaws.com
Políticas de funções vinculadas a serviços
A função OutpostID vinculada ao serviço AWSService RoleForOutposts _ inclui as seguintes políticas:
-
AWSOutpostsPrivateConnectivityPolicy_
OutpostID
AWSOutpostsServiceRolePolicy
A AWSOutpostsServiceRolePolicy política permite o acesso aos AWS recursos gerenciados pelo AWS Outposts.
Essa política permite AWS Outposts concluir as seguintes ações nos recursos especificados:
-
Ação:
ec2:DescribeNetworkInterfacesem todos os AWS recursos -
Ação:
ec2:DescribeSecurityGroupsem todos os AWS recursos -
Ação:
ec2:DescribeSubnetsem todos os AWS recursos -
Ação:
ec2:DescribeVpcEndpointsem todos os AWS recursos -
Ação:
ec2:CreateNetworkInterfacesobre os seguintes AWS recursos:"arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" -
Ação:
ec2:CreateNetworkInterfaceno AWS recurso"arn:*:ec2:*:*:network-interface/*"que corresponde à seguinte condição:"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] } -
Ação:
ec2:CreateSecurityGroupsobre os seguintes AWS recursos:"arn:*:ec2:*:*:vpc/*" -
Ação:
ec2:CreateSecurityGroupno AWS recurso"arn:*:ec2:*:*:security-group/*"que corresponde à seguinte condição:"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
AWSOutpostsPrivateConnectivityPolicy_OutpostID
A AWSOutpostsPrivateConnectivityPolicy_ política permite AWS Outposts concluir as seguintes ações nos recursos especificados:OutpostID
-
Ação:
ec2:AuthorizeSecurityGroupIngressem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Ação:
ec2:AuthorizeSecurityGroupEgressem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Ação:
ec2:CreateNetworkInterfacePermissionem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Ação:
ec2:CreateTagsem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}, "StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]} -
Ação:
ec2:RevokeSecurityGroupIngressem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Ação:
ec2:RevokeSecurityGroupEgressem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Ação:
ec2:DeleteNetworkInterfaceem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
Ação:
ec2:DeleteSecurityGroupem todos os AWS recursos que correspondam à seguinte condição:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para obter mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.
Crie uma função vinculada ao serviço para AWS Outposts
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você configura a conectividade privada para seu Outpost no AWS Management Console, AWS Outposts cria a função vinculada ao serviço para você.
Para obter mais informações, consulte Opções de conectividade privada do Service Link.
Edite uma função vinculada ao serviço para AWS Outposts
AWS Outposts não permite que você edite a função OutpostID vinculada ao serviço AWSService RoleForOutposts _. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Atualizar um perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir uma função vinculada ao serviço para AWS Outposts
Se você não precisar mais usar um recurso ou um serviço que requer uma função vinculada ao serviço, é recomendável excluí-la. Dessa forma, você evita ter uma entidade não utilizada que não seja monitorada ou mantida ativamente. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
Se o AWS Outposts serviço estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Você deve excluir seu Outpost antes de excluir a função vinculada ao OutpostID serviço AWSService RoleForOutposts _.
Antes de começar, certifique-se de que seu Outpost não esteja sendo compartilhado usando AWS Resource Access Manager (AWS RAM). Para obter mais informações, consulte Cancelar o compartilhamento de um recurso compartilhado do Outpost.
Para excluir AWS Outposts recursos usados pelo AWSService RoleForOutposts _ OutpostID
Entre em contato com o AWS Enterprise Support para excluir seu Outpost.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Regiões suportadas para funções vinculadas a AWS Outposts serviços
AWS Outposts suporta o uso de funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte os FAQs racks para Outposts
