使用适用于 Amazon 的服务相关角色 FSx - 适用于 ONTAP 的 FSx
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用适用于 Amazon 的服务相关角色 FSx

Amazon FSx 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon FSx 直接关联的独特IAM角色。服务相关角色由 Amazon FSx 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。

服务相关角色使设置 Amazon FSx 变得更加容易,因为您不必手动添加必要的权限。亚马逊FSx定义其服务相关角色的权限,除非另有定义,否则只有亚马逊FSx可以担任其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

只有在首先删除相关资源后,您才能删除服务相关角色。这样可以保护您的 Amazon FSx 资源,因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息,请参阅与之配合使用的Amazon 服务,IAM并在 “服务相关角色” 列中查找标有 “” 的服务。选择和链接,查看该服务的服务相关角色文档。

Amazon 的服务相关角色权限 FSx

Amazon FSx 使用名为 AWSServiceRoleForAmazonFSx— 的服务相关角色,该角色在您的账户中执行某些操作,例如在您的账户中为您的文件系统创建弹性网络接口VPC,并在中 CloudWatch发布文件系统和卷指标。

有关此策略的更新,请参阅 A mazonFSx ServiceRolePolicy

权限详细信息

权限详细信息

AWSServiceRoleForAmazonFSx 角色权限由 A mazonFSx ServiceRolePolicy Amazon 托管策略定义。 AWSServiceRoleForAmazonFSx 具有以下权限:

注意

AWSServiceRoleForAmazonFSx 适用于所有 Amazon FSx 文件系统类型;列出的某些权限不适用FSx于ONTAP。

  • ds— 允许 Amazon FSx 查看、授权和取消对您 Amazon Directory Service 目录中的应用程序的授权。

  • ec2— 允许 Amazon FSx 执行以下操作:

    • 查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。

    • 查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。

    • 查看与亚马逊FSx文件系统关联的亚马逊VPCs、安全组和子网。

    • 对可与一起使用的所有安全组提供增强的安全组验证VPC。

    • 为 Amazon授权用户创建在网络接口上执行某些操作的权限。

  • cloudwatch— 允许 Amazon 将指标数据点发布FSx到 Amazon/FSx命名空间 CloudWatch 下。

  • route53— 允许亚马逊FSx将亚马逊VPC与私有托管区域相关联。

  • logs— 允许 Amazon FSx 描述和写入 CloudWatch 日志日志流。这样,用户就可以将 Windows 文件服务器文件系统的文件访问审核日志发送到 CloudWatch 日志流。FSx

  • firehose— FSx 允许亚马逊描述和写入亚马逊数据 Firehose 传送流。这样,用户就可以将亚马FSx逊 Windows 文件服务器文件系统的文件访问审核日志发布到亚马逊数据 Firehose 传输流。

{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }

亚马逊FSx更新了托 Amazon 管政策 中介绍了本政策的所有更新。

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为 Amazon 创建服务相关角色 FSx

您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、或中创建文件系统时 IAM CLI IAMAPI,Amazon FSx 会为您创建服务相关角色。

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。要了解更多信息,请参阅我的 IAM 账户中出现新角色

如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您创建文件系统时,Amazon FSx 会再次为您创建服务相关角色。

编辑 Amazon 的服务相关角色 FSx

Amazon FSx 不允许您编辑 AWSServiceRoleForAmazonFSx 服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅IAM用户指南中的编辑服务相关角色

删除 Amazon 的服务相关角色 FSx

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务相关角色。

注意

如果您尝试删除资源时,Amazon FSx 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

使用 IAM 手动删除服务相关角色

使用IAM控制台IAMCLI、或删除 AWSServiceRoleForAmazonFSx服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色

Amazon FSx 服务相关角色支持的区域

Amazon FSx 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅Amazon 区域和端点