Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados al servicio para FSx para Windows File Server
Amazon FSx for Windows File Server AWS Identity and Access Management utiliza funciones vinculadas a servicios (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a FSx for Windows File Server. Service-linked fSx for Windows File Server predefine las funciones e incluyen todos los permisos que el servicio necesita para llamar a AWS otros servicios en su nombre.
Un rol vinculado al servicio simplifica la configuración de FSx para Windows File Server, porque ya no tendrá que agregar manualmente los permisos requeridos. FSx para Windows File Server define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo FSx para Windows File Server puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.
Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma se protegen los recursos de FSx para Windows File Server, ya que evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.
Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios en los que se indica Sí en la columna Service-Linked Rol vinculado a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Service-linked permisos de rol para FSx for Windows File Server
FSx para Windows File Server utiliza el rol vinculado al servicio denominado AWSServiceRoleForAmazonFSx, que realiza determinadas acciones en su cuenta, como la creación de interfaces de red Elastic para los sistemas de archivos de la VPC.
La política de permisos de funciones permite a FSx for Windows File Server realizar las siguientes acciones en todos los recursos AWS aplicables:
No puede adjuntarse AmazonFSxServiceRolePolicy a sus entidades de IAM. Esta política se adjunta a una función vinculada a un servicio que permite a FSx gestionar AWS los recursos en su nombre. Para obtener más información, consulte Uso de roles vinculados al servicio para FSx para Windows File Server.
Para obtener actualizaciones de esta política, consulte AmazonFSxServiceRolePolicy.
Esta política concede permisos administrativos que permiten a FSx gestionar AWS los recursos en nombre del usuario.
Detalles de los permisos
Los permisos de los AmazonFSxServiceRolePolicy roles los define la política AmazonFSxServiceRolePolicy AWS gestionada. AmazonFSxServiceRolePolicy tiene los siguientes permisos:
nota
AmazonFSxServiceRolePolicy lo utilizan todos los tipos de sistemas de archivos de Amazon FSx; es posible que algunos de los permisos enumerados no se apliquen a fSx para Windows.
-
ds— Permite a FSx ver, autorizar y desautorizar las aplicaciones de su directorio. Directory Service -
ec2: permite realizar las siguientes tareas:Ver, crear y desasociar las interfaces de red asociadas a un sistema de archivos Amazon FSx.
Ver una o varias direcciones IP elásticas asociadas a un sistema de archivos de Amazon FSx.
Ver las VPC de Amazon, los grupos de seguridad y las subredes asociadas a un sistema de archivos de Amazon FSx.
Asigne direcciones IPv6 a las interfaces de red de los clientes que tengan una etiqueta
AmazonFSx.FileSystemId.Anule la asignación de las direcciones IPv6 de las interfaces de red de los clientes que tengan una etiqueta
AmazonFSx.FileSystemId.Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).
Cree un permiso para que un usuario AWS autorizado realice determinadas operaciones en una interfaz de red.
-
cloudwatch— Permite a FSx publicar puntos de datos de métricas en el espacio de nombres CloudWatch AWS/FSx. -
route53: permite que FSx asocie una Amazon VPC con una zona alojada privada. -
logs— Permite a FSx describir y escribir en los flujos de registro de los CloudWatch registros. Esto permite a los usuarios enviar los registros de auditoría de acceso a los archivos de un sistema de archivos FSx for Windows File Server a CloudWatch una secuencia de registros. -
firehose: permite que FSx describa y escriba en los flujos de entrega de Amazon Data Firehose. Esto es para que los usuarios puedan publicar los registros de auditoría de acceso de un sistema de archivos de FSx para Windows File Server a un flujo de entrega de Amazon Data Firehose.
Todas las actualizaciones de esta política están detalladas en Amazon FSx se actualiza a AWS políticas administradas.
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte los permisos de Service-Linked rol en la Guía del usuario de IAM.
Creación de un rol vinculado a servicios para FSx para Windows File Server
No necesita crear manualmente un rol vinculado a servicios. Al crear un sistema de archivos en la Consola de administración de AWS CLI de IAM o en la API de IAM, fSx for Windows File Server crea automáticamente la función vinculada al servicio.
importante
Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un sistema de archivos, FSx para Windows File Server vuelve a crear el rol vinculado al servicio por usted.
Edición de un rol vinculado a servicios para FSx para Windows File Server
FSx para Windows File Server no le permite editar el rol vinculado a servicios. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Edición de un Service-Linked rol en la Guía del usuario de IAM.
Eliminación de un rol vinculado a servicios para FSx para Windows File Server
Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.
nota
Si el servicio de FSx para Windows File Server utiliza el rol al intentar eliminar los recursos, se podría generar un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios . Para obtener más información, consulte Eliminar un Service-Linked rol en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados a servicios de FSx para Windows File Server
FSx para Windows File Server admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Regiones y puntos de conexión de AWS.