Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per Servizio di directory
Servizio di directory AWS utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. Servizio di directory Service-linked i ruoli sono predefiniti Servizio di directory e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.
Un ruolo collegato al servizio semplifica la configurazione Servizio di directory perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Servizio di directory definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. Servizio di directory Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni, che non possono essere collegate a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo si evita di perdere l'accesso alle Servizio di directory risorse perché non è possibile rimuovere inavvertitamente le autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta Servizi AWS che funzionano con IAM.
Argomenti
Service-linked autorizzazioni di ruolo per Servizio di directory
Creazione di un ruolo collegato ai servizi per Servizio di directory
Modifica di un ruolo collegato ai servizi per Servizio di directory
Eliminazione di un ruolo collegato ai servizi per Servizio di directory
Regioni supportate per Servizio di directory ruoli collegati al servizio
Service-linked autorizzazioni di ruolo per Servizio di directory
Servizio di directory utilizza il ruolo collegato al servizio denominato AWSServiceRoleForDirectoryService: consente di monitorare i controller di AWS dominio autogestiti del cliente.
Ai fini dell’assunzione del ruolo, il ruolo collegato al servizio AWSServiceRoleForDirectoryService considera attendibili i seguenti servizi:
-
ds.amazonaws.com
La politica di autorizzazione dei ruoli denominata AWSDirectoryServiceServiceRolePolicy consente di Servizio di directory completare le seguenti azioni sulle risorse specificate. Per le autorizzazioni complete della policy, vedere AWSDirectoryServiceServiceRolePolicynel AWS Managed Policy Reference.
-
ec2— Consente al servizio di descrivere risorse di rete come VPC, sottoreti, gruppi di sicurezza e interfacce di rete per convalidare le configurazioni di connettività ibrida:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— Consente al servizio di inviare e monitorare le PowerShell guilabel ai controller di dominio locali per scopi di monitoraggio e valutazione:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta le autorizzazioni dei Service-linked ruoli nella Guida per l'utente IAM.
Creazione di un ruolo collegato ai servizi per Servizio di directory
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando consenti di AWS monitorare i controller di dominio autogestiti del cliente nella Console di gestione AWS, l'o l' AWS API AWS CLI, Servizio di directory crea automaticamente il ruolo collegato al servizio. Per ulteriori informazioni su questa modifica, consulta Aggiornamenti delle politiche.
Importante
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il Servizio di directory servizio prima del 1° gennaio 2017, quando ha iniziato a supportare i ruoli collegati al servizio, hai Servizio di directory creato il AWSServiceRoleForDirectoryServiceruolo nel tuo account. Per ulteriori informazioni, vedi A new role appeared in my. Account AWS
Modifica di un ruolo collegato ai servizi per Servizio di directory
Servizio di directory non consente di modificare il ruolo AWSServiceRoleForDirectoryServicecollegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l’utente di IAM.
Eliminazione di un ruolo collegato ai servizi per Servizio di directory
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
Nota
Se il Servizio di directory servizio utilizza il ruolo nel momento in cui si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.
Per eliminare Servizio di directory risorse utilizzate da AWSServiceRoleForDirectoryService
-
Per eliminare la tua cartella, consultaEliminazione del tuo AWS Microsoft AD gestito.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSServiceRoleForDirectoryServicecollegato al servizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato ai servizi nella Guida per l'utente IAM.
Regioni supportate per Servizio di directory ruoli collegati al servizio
Servizio di directory non supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Tuttavia, Servizio di directory utilizza il AWSServiceRoleForDirectoryServiceruolo solo Regioni AWS quando è possibile attivare le directory ibride.
| Nome della Regione | Identità della Regione | supporto opt-in |
|---|---|---|
| Stati Uniti orientali (Virginia settentrionale) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| Stati Uniti occidentali (California settentrionale) | us-west-1 | Sì |
| Stati Uniti occidentali (Oregon) | us-west-2 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Medio Oriente (Bahrein) | me-south-1 | Sì |
| Asia Pacifico (Mumbai) | ap-south-1 | Sì |
| Europa (Parigi) | eu-west-3 | Sì |
| Asia Pacifico (Giacarta) | ap-southeast-3 | Sì |
| Africa (Città del Capo) | af-south-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | Sì |
| Europa (Francoforte) | eu-central-1 | Sì |
| Sud America (San Paolo) | sa-east-1 | Sì |
| Asia Pacific (Hong Kong) | ap-east-1 | Sì |
| Asia Pacifico (Hyderabad) | ap-south-2 | Sì |
| Asia Pacifico (Seoul) | ap-northeast-2 | Sì |
| Asia Pacifico (Osaka) | ap-northeast-3 | Sì |
| Europa (Londra) | eu-west-2 | Sì |
| Asia Pacifico (Melbourne) | ap-southeast-4 | Sì |
| Europe (Milan) | eu-south-1 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Canada (Centrale) | ca-central-1 | Sì |
| Europa (Spagna) | eu-south-2 | Sì |
| Europa (Zurigo) | eu-central-2 | Sì |