Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.
Utilizzo di ruoli collegati ai servizi per Directory Service
AWS Directory Service utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. Directory Service I ruoli collegati ai servizi sono predefiniti Directory Service e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS
Un ruolo collegato al servizio semplifica la configurazione Directory Service perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Directory Service definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. Directory Service Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni, che non possono essere collegate a un'altra entità IAM.
È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo si evita di perdere l'accesso alle Directory Service risorse perché non è possibile rimuovere inavvertitamente le autorizzazioni di accesso alle risorse.
Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi consulta Servizi AWS che funzionano con IAM.
Argomenti
Autorizzazioni di ruolo collegate al servizio per Directory Service
Creazione di un ruolo collegato al servizio per Directory Service
Modifica di un ruolo collegato al servizio per Directory Service
Eliminazione di un ruolo collegato al servizio per Directory Service
Regioni supportate per i ruoli collegati ai servizi Directory Service
Autorizzazioni di ruolo collegate al servizio per Directory Service
Directory Service utilizza il ruolo collegato al servizio denominato AWSServiceRoleForDirectoryService: consente di monitorare i controller di dominio AWS autogestiti del cliente.
Ai fini dell'assunzione del ruolo, il ruolo collegato ai servizi AWSServiceRoleForDirectoryService considera attendibili i seguenti servizi:
-
ds.amazonaws.com
La politica di autorizzazione dei ruoli denominata AWSDirectory ServiceServiceRolePolicy consente di Directory Service completare le seguenti azioni sulle risorse specificate. Per le autorizzazioni complete della policy, vedere AWSDirectoryServiceServiceRolePolicynel AWS Managed Policy Reference.
-
ec2— Consente al servizio di descrivere risorse di rete come sottoreti VPCs, gruppi di sicurezza e interfacce di rete per convalidare le configurazioni di connettività ibrida:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— Consente al servizio di inviare e monitorare le PowerShell guilabel ai controller di dominio locali per scopi di monitoraggio e valutazione:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
Per consentire a utenti, gruppi o ruoli di creare, modificare o eliminare un ruolo orientato ai servizi, devi configurare le autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l’utente di IAM.
Creazione di un ruolo collegato al servizio per Directory Service
Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando consenti di AWS monitorare i controller di dominio autogestiti del cliente nell'API Console di gestione AWS, l'o l' AWS API AWS CLI, Directory Service crea automaticamente il ruolo collegato al servizio. Per ulteriori informazioni su questa modifica, consulta Aggiornamenti delle politiche.
Importante
Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il Directory Service servizio prima del 1° gennaio 2017, quando ha iniziato a supportare i ruoli collegati al servizio, hai Directory Service creato il AWSServiceRoleForDirectoryServiceruolo nel tuo account. Per ulteriori informazioni, vedi A new role appeared in my. Account AWS
Modifica di un ruolo collegato al servizio per Directory Service
Directory Service non consente di modificare il ruolo collegato al AWSServiceRoleForDirectoryServiceservizio. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l’utente di IAM.
Eliminazione di un ruolo collegato al servizio per Directory Service
Se non è più necessario utilizzare una caratteristica o un servizio che richiede un ruolo collegato ai servizi, ti consigliamo di eliminare quel ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato ai servizi prima di poterlo eliminare manualmente.
Nota
Se il Directory Service servizio utilizza il ruolo nel momento in cui si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.
Per eliminare Directory Service le risorse utilizzate da AWSService RoleForDirectoryService
-
Per eliminare la tua directory, consultaEliminazione di AWS Managed Microsoft AD.
Per eliminare manualmente il ruolo collegato ai servizi mediante IAM
Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo AWSServiceRoleForDirectoryServicecollegato al servizio. Per ulteriori dettagli, consulta Eliminazione di un ruolo collegato al servizio nella Guida per l’utente di IAM.
Regioni supportate per i ruoli collegati ai servizi Directory Service
Directory Service non supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Tuttavia, Directory Service utilizza il AWSServiceRoleForDirectoryServiceruolo solo Regioni AWS quando è possibile attivare le directory ibride.
| Nome della Regione | Identità della regione | supporto opt-in |
|---|---|---|
| US East (N. Virginia) | us-east-1 | Sì |
| Stati Uniti orientali (Ohio) | us-east-2 | Sì |
| US West (N. California) | us-west-1 | Sì |
| US West (Oregon) | us-west-2 | Sì |
| Europa (Stoccolma) | eu-north-1 | Sì |
| Medio Oriente (Bahrein) | me-south-1 | Sì |
| Asia Pacific (Mumbai) | ap-south-1 | Sì |
| Europe (Paris) | eu-west-3 | Sì |
| Asia Pacifico (Giacarta) | ap-southeast-3 | Sì |
| Africa (Cape Town) | af-south-1 | Sì |
| Europa (Irlanda) | eu-west-1 | Sì |
| Medio Oriente (Emirati Arabi Uniti) | me-central-1 | Sì |
| Europe (Frankfurt) | eu-central-1 | Sì |
| Sud America (São Paulo) | sa-east-1 | Sì |
| Asia Pacific (Hong Kong) | ap-east-1 | Sì |
| Asia Pacific (Hyderabad) | ap-south-2 | Sì |
| Asia Pacifico (Seul) | ap-northeast-2 | Sì |
| Asia Pacifico (Osaka-Locale) | ap-northeast-3 | Sì |
| Europe (London) | eu-west-2 | Sì |
| Asia Pacifico (Melbourne) | ap-southeast-4 | Sì |
| Europe (Milan) | eu-south-1 | Sì |
| Asia Pacifico (Tokyo) | ap-northeast-1 | Sì |
| Asia Pacifico (Singapore) | ap-southeast-1 | Sì |
| Asia Pacifico (Sydney) | ap-southeast-2 | Sì |
| Canada (Central) | ca-central-1 | Sì |
| Europa (Spagna) | eu-south-2 | Sì |
| Europa (Zurigo) | eu-central-2 | Sì |
