使用 Amazon FSx 的服务相关角色
Amazon FSx for Windows File Server 使用 Amazon Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,与 Amazon FSx 直接相关。服务相关角色由 Amazon FSx 预定义,包含服务代表您调用其他 Amazon 服务所需的所有权限。
服务相关角色可让您更轻松地设置 Amazon FSx,因为您不必手动添加必要的权限。Amazon FSx 定义其服务相关角色的权限,除非另外定义,否则只有 Amazon FSx 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务相关角色。这将保护您的 Amazon FSx 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 Amazon 服务并查找服务相关角色列中显示为是的服务。选择是,可转到查看该服务的服务相关角色文档的链接。
Amazon FSx 的服务相关角色权限
Amazon FSx 使用名为 AWSServiceRoleForAmazonFSx
的服务相关角色 – 在您的账户中执行某些操作,例如在 VPC 中为文件系统创建弹性网络接口。
角色权限策略允许 Amazon FSx 对所有适用的 Amazon 资源完成以下操作:
您无法将 AmazonFSxServiceRolePolicy 附加到您的 IAM 实体。将此策略附加到允许 FSx 代表您管理 Amazon 资源的服务相关角色。有关更多信息,请参阅 使用 Amazon FSx 的服务相关角色。
有关此策略的更新,请参阅 AmazonFSxServiceRolePolicy
此策略授予允许 FSx 代表用户管理 Amazon 资源的管理权限。
权限详细信息
AmazonFSxServiceRolePolicy 角色权限由 AmazonFSxServiceRolePolicy Amazon 托管式策略定义。AmazonFSxServiceRolePolicy 具有以下权限:
注意
所有 Amazon FSx 文件系统类型都使用 AmazonFSxServiceRolePolicy;一些列出的权限不适用于 FSx for Windows。
-
ds
– 允许 FSx 查看您的 Amazon Directory Service 目录中的应用程序并对其授权或取消授权。 -
ec2
– 允许 FSx 执行以下操作:查看、创建与 Amazon FSx 文件系统关联的网络接口以及取消关联。
查看一个或多个与 Amazon FSx 文件系统关联的弹性 IP 地址。
查看与 Amazon FSx 文件系统关联的 Amazon VPC、安全组和子网。
为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
为 Amazon 授权用户创建权限,用于在网络接口上执行特定操作。
-
cloudwatch
– 允许 FSx 在 Amazon/FSx 命名空间下向 CloudWatch 发布指标数据点。 -
route53
– 允许 FSx 将 Amazon VPC 与私有托管区关联。 -
logs
– 允许 FSx 描述和写入 CloudWatch Logs 日志流。该操作的目的是,用户可以将 FSx for Windows File Server 文件系统的文件访问审计日志发送到 CloudWatch Logs 日志流。 -
firehose
– 允许 FSx 描述和写入 Amazon Data Firehose 传输流。该操作的目的是,用户可以将 FSx for Windows File Server 文件系统的文件访问审计日志发布到 Amazon Data Firehose 传输流。
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
Amazon 托管式策略的 Amazon FSx 更新 中介绍了本政策的所有更新。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
为 Amazon FSx 创建服务相关角色
您无需手动创建服务相关角色。当在 Amazon Web Services Management Console、IAM CLI 或 IAM API 中创建文件系统时,Amazon FSx 会为您创建服务相关角色。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。要了解更多信息,请参阅我的 IAM 账户中的新角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建文件系统时,Amazon FSx 会再次为您创建服务相关角色。
为 Amazon FSx 编辑服务相关角色
Amazon FSx 不允许您编辑服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Amazon FSx 的服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务相关角色。
注意
如果当您试图删除资源时 Amazon FSx 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台、IAM CLI 或 IAM API 删除 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
Amazon FSx 服务相关角色支持的区域
Amazon FSx 支持在该服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon 区域和端点。