本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用适用于 Amazon 的服务相关角色 FSx
亚马逊FSx版 Windows 文件服务器使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon FSx 直接关联的独特IAM角色。服务相关角色由 Amazon FSx 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。
服务相关角色使设置 Amazon FSx 变得更加容易,因为您不必手动添加必要的权限。亚马逊FSx定义其服务相关角色的权限,除非另有定义,否则只有亚马逊FSx可以担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。
只有在首先删除相关资源后,您才能删除服务相关角色。这样可以保护您的 Amazon FSx 资源,因为您不会无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与之配合使用的Amazon 服务,IAM并在 “服务相关角色” 列中查找标有 “是” 的服务。选择是和链接,查看该服务的服务相关角色文档。
Amazon 的服务相关角色权限 FSx
Amazon FSx 使用名为 AWSServiceRoleForAmazonFSx
— 的服务相关角色在您的账户中执行某些操作,例如在您的账户中为您的文件系统创建弹性网络接口。VPC
角色权限策略允许 Amazon FSx 对所有适用 Amazon 资源完成以下操作:
你不能将 A 附加mazonFSxServiceRolePolicy 到你的IAM实体上。此策略附加到服务相关角色,FSx允许您代表您管理 Amazon 资源。有关更多信息,请参阅 使用适用于 Amazon 的服务相关角色 FSx。
有关本政策的更新,请参阅 AmazonF SxServiceRolePolicy
此策略授予管理权限,FSx允许代表用户管理 Amazon 资源。
权限详细信息
A mazonFSx ServiceRolePolicy 角色权限由 A mazonFSx ServiceRolePolicy Amazon 托管策略定义。A mazonFSx ServiceRolePolicy 具有以下权限:
注意
A mazonFSx ServiceRolePolicy 用于所有亚马逊FSx文件系统类型;列出的某些权限可能不适用FSx于 Windows。
-
ds
— FSx 允许查看、授权和取消对 Amazon Directory Service 目录中的应用程序的授权。 -
ec2
— FSx 允许执行以下操作:查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。
查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。
查看与亚马逊FSx文件系统关联的亚马逊VPCs、安全组和子网。
对可与一起使用的所有安全组提供增强的安全组验证VPC。
为获得 Amazon授权的用户创建在网络接口上执行某些操作的权限。
-
cloudwatch
— FSx 允许将指标数据点发布到 Amazon/FSx命名空间 CloudWatch 下。 -
route53
— 允许FSx将 Amazon VPC 与私有托管区域关联。 -
logs
— FSx 允许描述和写入 CloudWatch 日志日志流。这样,用户就可以将 Windows 文件服务器文件系统的文件访问审核日志发送到 CloudWatch 日志流。FSx -
firehose
— FSx 允许描述和写入 Amazon Data Firehose 的传输流。这样,用户就可以将适用于 Windows 文件服务器的文件系统的文件访问审核日志发布到 Amazon Data Firehose 传输流。FSx
{ "Version": "2012-10-17", "Statement": [ { "Sid": "CreateFileSystem", "Effect": "Allow", "Action": [ "ds:AuthorizeApplication", "ds:GetAuthorizedApplicationDetails", "ds:UnauthorizeApplication", "ec2:CreateNetworkInterface", "ec2:CreateNetworkInterfacePermission", "ec2:DeleteNetworkInterface", "ec2:DescribeAddresses", "ec2:DescribeDhcpOptions", "ec2:DescribeNetworkInterfaces", "ec2:DescribeRouteTables", "ec2:DescribeSecurityGroups", "ec2:DescribeSubnets", "ec2:DescribeVPCs", "ec2:DisassociateAddress", "ec2:GetSecurityGroupsForVpc", "route53:AssociateVPCWithHostedZone" ], "Resource": "*" }, { "Sid": "PutMetrics", "Effect": "Allow", "Action": [ "cloudwatch:PutMetricData" ], "Resource": [ "*" ], "Condition": { "StringEquals": { "cloudwatch:namespace": "AWS/FSx" } } }, { "Sid": "TagResourceNetworkInterface", "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "StringEquals": { "ec2:CreateAction": "CreateNetworkInterface" }, "ForAllValues:StringEquals": { "aws:TagKeys": "AmazonFSx.FileSystemId" } } }, { "Sid": "ManageNetworkInterface", "Effect": "Allow", "Action": [ "ec2:AssignPrivateIpAddresses", "ec2:ModifyNetworkInterfaceAttribute", "ec2:UnassignPrivateIpAddresses" ], "Resource": [ "arn:aws:ec2:*:*:network-interface/*" ], "Condition": { "Null": { "aws:ResourceTag/AmazonFSx.FileSystemId": "false" } } }, { "Sid": "ManageRouteTable", "Effect": "Allow", "Action": [ "ec2:CreateRoute", "ec2:ReplaceRoute", "ec2:DeleteRoute" ], "Resource": [ "arn:aws:ec2:*:*:route-table/*" ], "Condition": { "StringEquals": { "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx" } } }, { "Sid": "PutCloudWatchLogs", "Effect": "Allow", "Action": [ "logs:DescribeLogGroups", "logs:DescribeLogStreams", "logs:PutLogEvents" ], "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*" }, { "Sid": "ManageAuditLogs", "Effect": "Allow", "Action": [ "firehose:DescribeDeliveryStream", "firehose:PutRecord", "firehose:PutRecordBatch" ], "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*" } ] }
亚马逊 FSx 更新了托管政策 Amazon 中介绍了本政策的所有更新。
必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限。
为 Amazon 创建服务相关角色 FSx
您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、或中创建文件系统时 IAM CLI IAMAPI,Amazon FSx 会为您创建服务相关角色。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。要了解更多信息,请参阅 “我的IAM账户” 中出现了一个新角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建文件系统时,Amazon FSx 会再次为您创建服务相关角色。
编辑 Amazon 的服务相关角色 FSx
Amazon FSx 不允许您编辑服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅IAM用户指南中的编辑服务相关角色。
删除 Amazon 的服务相关角色 FSx
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务相关角色。
注意
如果您尝试删除资源时,Amazon FSx 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
使用手动删除服务相关角色 IAM
使用IAM控制台IAMCLI、或删除服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色。
Amazon FSx 服务相关角色支持的区域
Amazon FSx 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 Amazon 区域和端点。