对 Amazon FSx 使用服务相关角色 - Amazon FSx for Windows File Server
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 AWS 服务入门

如果我们为英文版本指南提供翻译,那么如果存在任何冲突,将以英文版本指南为准。在提供翻译时使用机器翻译。

对 Amazon FSx 使用服务相关角色

Amazon FSx for Windows File Server 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon FSx 直接关联的独特类型的 IAM 角色。服务相关角色由 Amazon FSx 预定义,并包含该服务代表您调用其他 AWS 服务所需的一切权限。

可以通过服务相关角色轻松设置 Amazon FSx,因为您不必手动添加所需的权限。Amazon FSx 定义其服务相关角色的权限,除非另行定义,否则,仅 Amazon FSx 可以担任其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。

只有在首先删除相关资源后,才能删除服务相关角色。这将保护您的 Amazon FSx 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务并查找 Service-Linked Role 列为 Yes 的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

适用于 Amazon FSx 的服务相关角色权限

Amazon FSx 使用名为的服务链接角色 AWSServiceRoleForAmazonFSx – 在您的帐户中执行某些操作,如在VPC中为文件系统创建弹性网络接口。

角色权限策略允许 Amazon FSx 以完成以下关于所有适用 AWS 资源:

  • ec2:CreateNetworkInterface

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions 中的IAM 用户指南服务相关角色权限

为 Amazon FSx 创建服务相关角色

您无需手动创建服务相关角色。在中创建文件系统时 AWS 管理控制台, IAM CLI或 IAM API, Amazon FSx 为您创建服务链接角色。

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。要了解更多信息,请参阅我的 IAM 账户中出现新角色

如果您删除了此服务相关角色,然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。创建文件系统时, Amazon FSx 为您再次创建服务链接角色。

编辑 Amazon FSx 的服务相关角色

Amazon FSx 不允许您编辑 AWSServiceRoleForAmazonFSx 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 Amazon FSx 的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样,您就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务链接角色。

注意

如果在您试图删除资源时 Amazon FSx 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,则请等待几分钟后重试。

要使用来手动删除服务链接的角色 IAM

使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForAmazonFSx 服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色

Amazon FSx 服务相关角色的受支持区域

Amazon FSx 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅AWS Regions and Endpoints