使用适用于 Amazon 的服务相关角色 FSx - FSx适用于 Windows 文件服务器的亚马逊
Amazon 的服务相关角色权限 FSx为 Amazon 创建服务相关角色 FSx编辑 Amazon 的服务相关角色 FSx删除 Amazon 的服务相关角色 FSxAmazon FSx 服务相关角色支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用适用于 Amazon 的服务相关角色 FSx

亚马逊FSx版 Windows 文件服务器使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon FSx 直接关联的独特IAM角色。服务相关角色由 Amazon FSx 预定义,包括该服务代表您调用其他 Amazon 服务所需的所有权限。

服务相关角色使设置 Amazon FSx 变得更加容易,因为您不必手动添加必要的权限。亚马逊FSx定义其服务相关角色的权限,除非另有定义,否则只有亚马逊FSx可以担任其角色。定义的权限包括信任策略和权限策略,并且该权限策略不能附加到任何其他IAM实体。

只有在首先删除相关资源后,您才能删除服务相关角色。这样可以保护您的 Amazon FSx 资源,因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息,请参阅与之配合使用的Amazon 服务,IAM并在 “服务相关角色” 列中查找标有 “” 的服务。选择和链接,查看该服务的服务相关角色文档。

Amazon 的服务相关角色权限 FSx

Amazon FSx 使用名为 AWSServiceRoleForAmazonFSx — 的服务相关角色在您的账户中执行某些操作,例如在您的账户中为您的文件系统创建弹性网络接口。VPC

角色权限策略允许 Amazon FSx 对所有适用 Amazon 资源完成以下操作:

你不能将 A 附加mazonFSxServiceRolePolicy 到你的IAM实体上。此策略附加到服务相关角色,FSx允许您代表您管理 Amazon 资源。有关更多信息,请参阅 使用适用于 Amazon 的服务相关角色 FSx

有关本政策的更新,请参阅 AmazonF SxServiceRolePolicy

此策略授予管理权限,FSx允许代表用户管理 Amazon 资源。

权限详细信息

A mazonFSx ServiceRolePolicy 角色权限由 A mazonFSx ServiceRolePolicy Amazon 托管策略定义。A mazonFSx ServiceRolePolicy 具有以下权限:

注意

A mazonFSx ServiceRolePolicy 用于所有亚马逊FSx文件系统类型;列出的某些权限可能不适用FSx于 Windows。

  • ds— FSx 允许查看、授权和取消对 Amazon Directory Service 目录中的应用程序的授权。

  • ec2— FSx 允许执行以下操作:

    • 查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。

    • 查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。

    • 查看与亚马逊FSx文件系统关联的亚马逊VPCs、安全组和子网。

    • 对可与一起使用的所有安全组提供增强的安全组验证VPC。

    • 为获得 Amazon授权的用户创建在网络接口上执行某些操作的权限。

  • cloudwatch— FSx 允许将指标数据点发布到 Amazon/FSx命名空间 CloudWatch 下。

  • route53— 允许FSx将 Amazon VPC 与私有托管区域关联。

  • logs— FSx 允许描述和写入 CloudWatch 日志日志流。这样,用户就可以将 Windows 文件服务器文件系统的文件访问审核日志发送到 CloudWatch 日志流。FSx

  • firehose— FSx 允许描述和写入 Amazon Data Firehose 的传输流。这样,用户就可以将适用于 Windows 文件服务器的文件系统的文件访问审核日志发布到 Amazon Data Firehose 传输流。FSx

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

亚马逊 FSx 更新了托管政策 Amazon 中介绍了本政策的所有更新。

必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为 Amazon 创建服务相关角色 FSx

您无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、或中创建文件系统时 IAM CLI IAMAPI,Amazon FSx 会为您创建服务相关角色。

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。要了解更多信息,请参阅 “我的IAM账户” 中出现了一个新角色

如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建文件系统时,Amazon FSx 会再次为您创建服务相关角色。

编辑 Amazon 的服务相关角色 FSx

Amazon FSx 不允许您编辑服务相关角色。创建服务相关角色后,将无法更改角色名称,因为可能有多个实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅IAM用户指南中的编辑服务相关角色

删除 Amazon 的服务相关角色 FSx

如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务相关角色。

注意

如果您尝试删除资源时,Amazon FSx 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

使用手动删除服务相关角色 IAM

使用IAM控制台IAMCLI、或删除服务相关角色。IAM API有关更多信息,请参阅IAM用户指南中的删除服务相关角色

Amazon FSx 服务相关角色支持的区域

Amazon FSx 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 Amazon 区域和端点