本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
使用适用于 InfluxDB 的 Amazon Timestream 的服务相关角色
适用于 InfluxDB 的 Amazon Timestream 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 Amazon 服务,例如适用于 InfluxDB 的 Amazon Timestream。InfluxDB 服务相关角色的亚马逊 Timestream 是由亚马逊 Timestream 为 InfluxDB 预定义的。它们包括服务代表您的数据库实例调用 Amazon 服务所需的所有权限。
服务相关角色可以更轻松地为 InfluxDB 设置 Amazon Timestream,因为您不必手动添加必要的权限。这些角色已存在于您的 Amazon 账户中,但已关联到 Amazon Timestream,用于InfluxDB用例,并且具有预定义的权限。只有适用于 InfluxDB 的 Amazon Timestream 可以担任这些角色,并且只有这些角色才能使用预定义的权限策略。只有先删除角色的相关资源,才能删除角色。这可以保护你的 Amazon Timestream 上的 InfluxDB 资源,因为你不能无意中删除访问这些资源的必要权限。
有关支持服务相关角色的其他服务的信息,请参阅可与 IAM 搭配使用的Amazon 服务,并查找 Service-Linked Role(服务相关角色)列中为 Yes(是)的服务。选择是和链接,查看该服务的服务相关角色文档。
目录
适用于 InfluxDB 的 Amazon Timestream 的服务相关角色权限
适用于 InfluxDB 的 Amazon Timestream 使用名为的服务相关角色 AmazonTimestreamInfluxDBServiceRolePolicy— 该策略允许 InfluxDB 的 Timestream 在必要时代表您管理管理 Amazon 集群的资源。
AmazonTimestreamInfluxDBServiceRolePolicy 服务相关角色权限策略允许适用于 InfluxDB 的 Amazon Timestream 在指定资源上完成以下操作:
允许 IAM 实体创建 AmazonTimestreamInfluxDBServiceRolePolicy 服务相关角色
向该 IAM 实体的权限中添加以下策略声明:
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws-cn:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*", "Condition": {"StringLike": {"iam:Amazon ServiceName": "timestreamforinfluxdb.amazonaws.com"}} }
允许 IAM 实体删除 AmazonTimestreamInfluxDBServiceRolePolicy 服务相关角色
向该 IAM 实体的权限中添加以下策略声明:
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws-cn:iam::*:role/aws-service-role/timestreamforinfluxdb.amazonaws.com/AmazonTimestreamInfluxDBServiceRolePolicy*", "Condition": {"StringLike": {"iam:Amazon ServiceName": "timestreamforinfluxdb.amazonaws.com"}} }
或者,您可以使用 Amazon 托管策略为InfluxDB提供对Amazon Timestream的完全访问权限。
创建服务相关角色(IAM)
您无需手动创建服务相关角色。当你创建数据库实例时,适用于 InfluxDB 的 Amazon Timestream 会为你创建服务相关角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建数据库实例时,适用于 InfluxDB 的 Amazon Timestream 会再次为您创建服务相关角色。
编辑适用于 InfluxDB 的 Amazon Timestream 的服务相关角色的描述
适用于 InfluxDB 的 Amazon Timestream 不允许你编辑服务相关角色。 AmazonTimestreamInflux DBService RolePolicy 创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。
编辑服务相关角色描述(IAM 控制台)
您可以使用 IAM 控制台编辑服务相关角色的描述。
编辑服务相关角色的描述(控制台)
-
在 IAM 控制台的左侧导航窗格中,选择 Roles。
-
以下代码示例显示如何将 IAM 策略附加到用户。
-
在 Role description 的最右侧,选择 Edit。
-
在框中输入新描述,然后选择 Save(保存)。
编辑服务相关角色描述(IAM CLI)
您可以使用中的 IAM 操作 Amazon Command Line Interface 来编辑与服务相关的角色描述。
更改服务相关角色的描述(CLI)
-
(可选)要查看角色的当前描述,请使用 for Amazon CLI IAM 操作
get-role。$aws iam get-role --role-name AmazonTimestreamInfluxDBServiceRolePolicy通过 CLI 操作使用角色名称(并非 ARN)指向角色。例如,如果一个角色的 ARN 为
arn:aws:iam::123456789012:role/myrole,则应将角色称为myrole。 -
要更新服务相关角色的描述,请使用 for I Amazon CLI AM 操作
update-role-description。Linux 和 macOS
$aws iam update-role-description \ --role-name AmazonTimestreamInfluxDBServiceRolePolicy \ --description "new description"Windows
$aws iam update-role-description ^ --role-name AmazonTimestreamInfluxDBServiceRolePolicy ^ --description "new description"
编辑服务相关角色描述(IAM API)
您可以使用 IAM API 编辑服务相关角色描述。
更改服务相关角色的描述(API)
-
(可选)要查看角色的当前描述,请使用 IAM API 操作 GetRole.
https://iam.amazonaws.com/ ?Action=GetRole &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy &Version=2010-05-08 &AUTHPARAMS -
要更新角色的描述,请使用 IAM API 操作 UpdateRoleDescription.
https://iam.amazonaws.com/ ?Action=UpdateRoleDescription &RoleName=AmazonTimestreamInfluxDBServiceRolePolicy &Version=2010-05-08 &Description="New description"
删除适用于 InfluxDB 的 Amazon Timestream 的服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能将其删除。
适用于 InfluxDB 的 Amazon Timestream 不会为您删除服务相关角色。
清除服务相关角色
您必须先确认该角色没有与之关联的资源(集群),然后才能使用 IAM 删除服务相关角色。
在 IAM 控制台中检查服务相关角色是否具有活动会话
登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的左侧导航窗格中,选择 Roles。然后选择 AmazonTimestreamInfluxDBServiceRolePolicy 角色的名称(不是复选框)。
-
在所选角色的 Summary 页面上,选择 Access Advisor 选项卡。
-
在访问顾问选项卡查看服务相关角色的近期活动。
删除服务相关角色(IAM 控制台)
您可以使用 IAM 控制台删除服务相关角色。
删除服务相关角色 (控制台)
登录 Amazon Web Services Management Console 并打开 IAM 控制台,网址为https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的左侧导航窗格中,选择 Roles。然后,选中要删除的角色名称旁边的复选框,而不是名称或行本身。
-
对于页面顶部的角色操作,请选择删除角色。
-
在确认页面中,查看上次访问服务的数据,该数据显示了每个选定角色上次访问 Amazon 服务的时间。这样可帮助您确认角色当前是否处于活动状态。如果要继续,请选择 Yes, Delete 以提交服务相关角色进行删除。
-
监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色删除是异步的,因此,在您提交角色进行删除后,删除任务可能成功,也可能失败。如果任务失败,您可以从通知中选择 View details 或 View Resources 以了解删除失败的原因。
删除服务相关角色(IAM CLI)
您可以使用中的 IAM 操作 Amazon Command Line Interface 来删除服务相关角色。
删除服务相关角色(CLI)
-
如果您不知道要删除的服务相关角色的名称,请输入以下命令。此命令列出了您账户中的角色及其 Amazon 资源名称 (ARNs)。
$aws iam get-role --role-namerole-name通过 CLI 操作使用角色名称(并非 ARN)指向角色。例如,如果某个角色具有 ARN
arn:aws:iam::123456789012:role/myrole,则将该角色称为myrole。 -
由于服务相关角色如果正在使用或具有关联资源,则无法将其删除,因此您必须使用delete-service-linked-role
命令提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 deletion-task-id以检查删除任务的状态。输入以下命令以提交服务相关角色的删除请求。$aws iam delete-service-linked-role --role-namerole-name -
运行 get-service-linked-role-deletion-stat
us 命令以检查删除任务的状态。 $aws iam get-service-linked-role-deletion-status --deletion-task-iddeletion-task-id删除任务的状态可能是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
删除服务相关角色(IAM API)
您可以使用 IAM API 删除服务相关角色。
删除服务相关角色(API)
-
要提交与服务相关的名册的删除请求,请致电 DeleteServiceLinkedRole。 在请求中,指定角色名称。
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获
DeletionTaskId以检查删除任务的状态。 -
要查看删除状态,请致电 GetServiceLinkedRoleDeletionStatus。 在请求中,指定
DeletionTaskId。删除任务的状态可能是
NOT_STARTED、IN_PROGRESS、SUCCEEDED或FAILED。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
InfluxDB 服务相关角色的 Amazon Timestream 支持的区域
适用于 InfluxDB 的 Amazon Timestream 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅Amazon 服务端点。