FSx for Windows File Server 服务关联角色权限创建 FSx for Windows File Server 服务关联角色编辑 FSx for Windows File Server 服务关联角色删除 FSx for Windows File Server 服务关联角色 FSx for Windows File Server 服务关联角色支持的区域

使用 FSx for Windows File Server 服务关联角色

适用于 Windows File Server 的 Amazon FSx 使用 Amazon Identity and Access Management（IAM）服务关联角色。服务关联角色是一种独特的 IAM 角色类型，与 FSx for Windows File Server 直接关联。服务关联角色由 FSx for Windows File Server 预定义，包含服务代表您调用其他 Amazon 服务所需的所有权限。

服务关联角色可让您更轻松地设置 FSx for Windows File Server，因为您不必手动添加必要的权限。FSx for Windows File Server 定义其服务关联角色的权限，除非另外定义，否则只有 FSx for Windows File Server 可以代入该角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后，您才能删除服务关联角色。这可以保护您的 FSx for Windows File Server 资源，因为您不会无意中删除对资源的访问权限。

有关支持服务关联角色的其他服务的信息，请参阅使用 IAM 的 Amazon 服务，并查找服务关联角色列中显示为是的服务。选择是和链接，查看该服务的服务关联角色文档。

FSx for Windows File Server 服务关联角色权限

FSx for Windows File Server 使用名为 AWSServiceRoleForAmazonFSx 的服务关联角色，在您的账户中执行某些操作，例如在 VPC 中为文件系统创建弹性网络接口。

角色权限策略允许 FSx for Windows File Server 对所有适用的 Amazon 资源完成以下操作：

您无法将 AmazonFSxServiceRolePolicy 附加到您的 IAM 实体。将此策略附加到允许 FSx 代表您管理 Amazon 资源的服务关联角色。有关更多信息，请参阅使用 FSx for Windows File Server 服务关联角色。

有关此策略的更新，请参阅 AmazonFSxServiceRolePolicy。

此策略授予允许 FSx 代表用户管理 Amazon 资源的管理权限。

权限详细信息

AmazonFSxServiceRolePolicy 角色权限由 AmazonFSxServiceRolePolicy Amazon 托管式策略定义。AmazonFSxServiceRolePolicy 具有以下权限：

注意

所有 Amazon FSx 文件系统类型都使用 AmazonFSxServiceRolePolicy；一些列出的权限不适用于 FSx for Windows。

ds – 允许 FSx 查看您的 Amazon Directory Service 目录中的应用程序并对其授权或取消授权。
ec2 – 允许 FSx 执行以下操作：
- 查看、创建与 Amazon FSx 文件系统关联的网络接口以及取消关联。
- 查看一个或多个与 Amazon FSx 文件系统关联的弹性 IP 地址。
- 查看与 Amazon FSx 文件系统关联的 Amazon VPC、安全组和子网。
- 为带有 AmazonFSx.FileSystemId 标签的客户网络接口分配 IPv6 地址。
- 从带有 AmazonFSx.FileSystemId 标签的客户网络接口取消分配 IPv6 地址。
- 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
- 为 Amazon 授权用户创建权限，用于在网络接口上执行特定操作。
cloudwatch – 允许 FSx 在 Amazon/FSx 命名空间下向 CloudWatch 发布指标数据点。
route53 – 允许 FSx 将 Amazon VPC 与私有托管区关联。
logs – 允许 FSx 描述和写入 CloudWatch Logs 日志流。该操作的目的是，用户可以将 FSx for Windows File Server 文件系统的文件访问审计日志发送到 CloudWatch Logs 日志流。
firehose – 允许 FSx 描述和写入 Amazon Data Firehose 传输流。该操作的目的是，用户可以将 FSx for Windows File Server 文件系统的文件访问审计日志发布到 Amazon Data Firehose 传输流。

JSON


{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Amazon 托管式策略的 Amazon FSx 更新中介绍了本政策的所有更新。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅《IAM 用户指南》中的服务关联角色权限。

创建 FSx for Windows File Server 服务关联角色

您无需手动创建服务关联角色。当在 Amazon Web Services 管理控制台、IAM CLI 或 IAM API 中创建文件系统时，FSx for Windows File Server 会为您创建服务关联角色。

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作，此服务关联角色可以出现在您的账户中。要了解更多信息，请参阅我的 IAM 账户中的新角色。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您创建文件系统时，FSx for Windows File Server 会再次为您创建服务关联角色。

编辑 FSx for Windows File Server 服务关联角色

FSx for Windows File Server 不允许您编辑服务关联角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》中的编辑服务关联角色。

删除 FSx for Windows File Server 服务关联角色

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，您必须先删除所有文件系统和备份，然后才能手动删除服务关联角色。

注意

如果在您尝试删除资源时 FSx for Windows File Server 服务正在使用该角色，则删除操作可能会失败。如果发生这种情况，请等待几分钟后重试。

使用 IAM 手动删除服务关联角色

使用 IAM 控制台、IAM CLI 或 IAM API 删除服务关联角色。有关更多信息，请参阅《IAM 用户指南》中的删除服务关联角色。

FSx for Windows File Server 服务关联角色支持的区域

FSx for Windows File Server 支持在该服务可用的所有区域中使用服务关联角色。有关更多信息，请参阅 Amazon 区域和端点。

Javascript 在您的浏览器中被禁用或不可用。

要使用 Amazon Web Services 文档，必须启用 Javascript。请参阅浏览器的帮助页面以了解相关说明。

在 Amazon FSx 上使用标签

合规性验证