Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für VPC
Amazon VPC verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, die direkt mit VPC verknüpft ist. Dienstverknüpfte Rollen sind von VPC vordefiniert und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle erleichtert die Einrichtung von VPC, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. VPC definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur VPC ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre VPC-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entfernen können.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Dienstbezogene Rollenberechtigungen für VPC
VPC verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForNATGateway— Diese serviceverknüpfte Rolle ermöglicht es Amazon VPC, in Ihrem Namen Elastic IP-Adressen zuzuweisen, um regionale NAT-Gateways automatisch zu skalieren, Ihre vorhandenen Elastic auf Anfrage regionalen NAT-Gateways zuzuordnen und IPs zu trennen und Netzwerkschnittstellen zu beschreiben, um Ihre bestehende Infrastruktur zu identifizieren und automatisch in neue Availability Zones zu expandieren.
Die AWSService RoleFor NATGateway serviceverknüpfte Rolle vertraut darauf, dass die folgenden Services die Rolle übernehmen:
-
ec2-nat-gateway.amazonaws.com
Die genannte Rollenberechtigungsrichtlinie AWSNATGateway ServiceRolePolicy ermöglicht es VPC, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
-
Aktion:
AllocateAddressauf Service Managed EIPs , um die Zuteilung in EIPs Ihrem Namen vorzunehmen. Service Managed EIPs verarbeitet das nachfolgende Tagging mit vom Service verwalteten Tags automatisch. ReleaseAddress -
Aktion:
AssociateAddressauf Ihre bereits vorhandenen Elastic IP-Adressen, um sie auf Anfrage manuell Ihrem regionalen NAT-Gateway zuzuordnen. -
Aktion:
DisassociateAddressauf Ihre bereits vorhandenen Elastic IP-Adressen, um sie auf Anfrage aus dem regionalen NAT-Gateway zu entfernen. -
Aktion:
DescribeAddressesUm öffentliche IP-Adressinformationen von einem Kunden zu erhalten, die Ihnen ein Mitarbeiter EIPs zur Verfügung gestellt hat. -
Aktion:
DescribeNetworkInterfaceAuf Ihren vorhandenen Netzwerkschnittstellen zur automatischen Identifizierung der Availability Zones, in denen sich Ihre Infrastruktur befindet, und zur automatischen Skalierung auf neue Zonen.
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Eine serviceverknüpfte Rolle für VPC erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie ein NAT-Gateway mit einem „regionalen“ Verfügbarkeitsmodus in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, erstellt VPC die serviceverknüpfte Rolle für Sie.
Wichtig
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Wenn Sie den VPC-Dienst vor dem 1. Januar 2017 verwendet haben, als er begann, serviceverknüpfte Rollen zu unterstützen, hat VPC die AWSService RoleFor NATGateway Rolle außerdem in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle ist in meinem erschienen. AWS-Konto
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie ein NAT-Gateway mit einem „regionalen“ Verfügbarkeitsmodus erstellen, erstellt VPC die serviceverknüpfte Rolle erneut für Sie.
Sie können auch die IAM-Konsole verwenden, um eine serviceverknüpfte Rolle mit dem Anwendungsfall zu erstellen. AWSServiceRoleForNATGateway Erstellen Sie in der AWS CLI oder der AWS API eine dienstverknüpfte Rolle mit dem ec2-nat-gateway.amazonaws.com Dienstnamen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.
Bearbeiten einer serviceverknüpften Rolle für VPC
In VPC können Sie die AWSService RoleFor NATGateway serviceverknüpfte Rolle nicht bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für VPC
Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der VPC-Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um VPC-Ressourcen zu löschen, die verwendet werden von AWSService RoleFor NATGateway
-
Löschen Sie alle regionalen NAT-Gateways in allen Regionen, in denen sie bereitgestellt wurden.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die AWSService RoleFor NATGateway serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für dienstverknüpfte VPC-Rollen
VPC unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter AWS -Regionen und Endpunkte.
VPC unterstützt nicht die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Sie können die AWSService RoleFor NATGateway Rolle in den folgenden Regionen verwenden.
| Name der Region | Regions-ID | Support in VPC |
|---|---|---|
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Afrika (Kapstadt) | af-south-1 | Ja |
| Asien-Pazifik (Hongkong) | ap-east-1 | Ja |
| Asien-Pazifik (Taipeh) | ap-east-2 | Ja |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Hyderabad) | ap-south-2 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | Ja |
| Asien-Pazifik (Malaysia) | ap-southeast-5 | Ja |
| Asien-Pazifik (Neuseeland) | ap-southeast-6 | Ja |
| Asien-Pazifik (Thailand) | ap-southeast-7 | Ja |
| Kanada (Zentral) | ca-central-1 | Ja |
| Kanada West (Calgary) | ca-west-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Zürich) | eu-central-2 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Milan) | eu-south-1 | Ja |
| Europa (Spain) | eu-south-2 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Israel (Tel Aviv) | il-central-1 | Ja |
| Naher Osten (Bahrain) | me-south-1 | Ja |
| Naher Osten (VAE) | me-central-1 | Ja |
| Naher Osten (Saudi-Arabien) | me-west-1 | Ja |
| Mexiko (Zentral) | mx-central-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
| AWS GovCloud (US-Ost) | us-gov-east-1 | Nein |
| AWS GovCloud (US-West) | us-gov-west-1 | Nein |
