本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用适用于 Amazon 的服务相关角色 FSx
Amazon FSx 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon FSx 直接关联的独特IAM角色。服务相关角色由 Amazon FSx 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。
服务相关角色使设置 Amazon FSx 变得更加容易,因为您不必手动添加必要的权限。亚马逊FSx定义其服务相关角色的权限,除非另有定义,否则只有亚马逊FSx可以担任其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。
只有在首先删除相关资源后,您才能删除服务相关角色。这样可以保护您的 Amazon FSx 资源,因为您不会无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与之配合使用的Amazon 服务,IAM并在 “服务相关角色” 列中查找标有 “是” 的服务。选择是和链接,查看该服务的服务相关角色文档。
Amazon 的服务相关角色权限 FSx
Amazon FSx 使用名为 AWSServiceRoleForAmazonFSx— 的服务相关角色,该角色在您的账户中执行某些操作,例如在您的账户中为您的文件系统创建弹性网络接口VPC,并在中 CloudWatch发布文件系统和卷指标。
有关此策略的更新,请参阅 A mazonFSx ServiceRolePolicy
权限详细信息
权限详细信息
AWSServiceRoleForAmazonFSx 角色权限由 A mazonFSx ServiceRolePolicy Amazon 托管策略定义。 AWSServiceRoleForAmazonFSx 具有以下权限:
注意
AWSServiceRoleForAmazonFSx 适用于所有 Amazon FSx 文件系统类型;列出的某些权限不适用FSx于ONTAP。
-
ds
— 允许 Amazon FSx 查看、授权和取消对您 Amazon Directory Service 目录中的应用程序的授权。 -
ec2
— 允许 Amazon FSx 执行以下操作:查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。
查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。
查看与亚马逊FSx文件系统关联的亚马逊VPCs、安全组和子网。
对可与一起使用的所有安全组提供增强的安全组验证VPC。
为 Amazon授权用户创建在网络接口上执行某些操作的权限。
-
cloudwatch
— 允许 Amazon 将指标数据点发布FSx到 Amazon/FSx命名空间 CloudWatch 下。 -
route53
— 允许亚马逊FSx将亚马逊VPC与私有托管区域相关联。 -
logs
— 允许 Amazon FSx 描述和写入 CloudWatch 日志日志流。这样,用户就可以将 Windows 文件服务器文件系统的文件访问审核日志发送到 CloudWatch 日志流。FSx -
firehose
— FSx 允许亚马逊描述和写入亚马逊数据 Firehose 传送流。这样,用户就可以将亚马FSx逊 Windows 文件服务器文件系统的文件访问审核日志发布到亚马逊数据 Firehose 传输流。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
亚马逊FSx更新了托 Amazon 管政策 中介绍了本政策的所有更新。
您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。
为 Amazon 创建服务相关角色 FSx
您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、或中创建文件系统时 IAM CLI IAMAPI,Amazon FSx 会为您创建服务相关角色。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。要了解更多信息,请参阅我的 IAM 账户中出现新角色。
如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您创建文件系统时,Amazon FSx 会再次为您创建服务相关角色。
编辑 Amazon 的服务相关角色 FSx
Amazon FSx 不允许您编辑 AWSServiceRoleForAmazonFSx 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅IAM用户指南中的编辑服务相关角色。
删除 Amazon 的服务相关角色 FSx
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务相关角色。
注意
如果您尝试删除资源时,Amazon FSx 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
使用 IAM 手动删除服务相关角色
使用IAM控制台IAMCLI、或删除 AWSServiceRoleForAmazonFSx服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色。
Amazon FSx 服务相关角色支持的区域
Amazon FSx 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅Amazon 区域和端点。