Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für CloudFront
Amazon CloudFront verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, mit der direkt verknüpft ist. CloudFront Mit Diensten verknüpfte Rollen sind vordefiniert CloudFront und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine dienstbezogene Rolle CloudFront erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. CloudFront definiert die Berechtigungen ihrer dienstbezogenen Rollen und CloudFront kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dadurch werden Ihre CloudFront Ressourcen geschützt, da Sie nicht versehentlich die Zugriffsberechtigung für die Ressourcen entziehen können.
Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Suchen Sie in der Spalte Dienstverknüpfte Rollen nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Dienstbezogene Rollenberechtigungen für CloudFront VPC Origins
CloudFront VPC Origins verwendet die serviceverknüpfte Rolle mit dem Namen AWSServiceRoleForCloudFrontVPCOrigin— Ermöglicht CloudFront die Verwaltung EC2 elastischer Netzwerkschnittstellen und Sicherheitsgruppen in Ihrem Namen.
Das Tool AWSServiceRoleForCloudFrontVPCOrigin Die serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
-
vpcorigin.cloudfront.amazonaws.com
Die Rollenberechtigungsrichtlinie mit dem Namen AWSCloud Front VPCOrigin ServiceRolePolicy ermöglicht es CloudFront VPC Origins, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:
-
Aktion:
ec2:CreateNetworkInterfacefürarn:aws:ec2:*:*:network-interface/* -
Aktion:
ec2:CreateNetworkInterfacean undarn:aws:ec2:*:*:subnet/*arn:aws:ec2:*:*:security-group/* -
Aktion:
ec2:CreateSecurityGroupfürarn:aws:ec2:*:*:security-group/* -
Aktion:
ec2:CreateSecurityGroupfürarn:aws:ec2:*:*:vpc/* -
Aktion:
ec2:ModifyNetworkInterfaceAttribute,ec2:DeleteNetworkInterfaceec2:DeleteSecurityGroup,ec2:AssignIpv6Addresses, undec2:UnassignIpv6Addressesweiterall AWS resources that the actions support -
Aktion:
ec2:DescribeNetworkInterfaces,ec2:DescribeSecurityGroupsec2:DescribeInstances,ec2:DescribeInternetGateways,ec2:DescribeSubnets,ec2:DescribeRegions, undec2:DescribeAddressesweiterall AWS resources that the actions support -
Aktion:
ec2:CreateTagsanarn:aws:ec2:*:*:security-group/*undarn:aws:ec2:*:*:network-interface/* -
Aktion:
elasticloadbalancing:DescribeLoadBalancerselasticloadbalancing:DescribeListeners, undelasticloadbalancing:DescribeTargetGroupsweiterall AWS resources that the actions support
Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Eine serviceverknüpfte Rolle für CloudFront VPC Origins erstellen
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen VPC-Ursprung in der AWS Management Console, der oder der AWS API erstellen AWS CLI, erstellt CloudFront VPC Origins die serviceverknüpfte Rolle für Sie.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen VPC-Ursprung erstellen, erstellt CloudFront VPC Origins die serviceverknüpfte Rolle erneut für Sie.
Eine serviceverknüpfte Rolle für CloudFront VPC Origins bearbeiten
CloudFront VPC Origins erlaubt Ihnen nicht, das zu bearbeiten AWSServiceRoleForCloudFrontVPCOrigin Rolle, die mit einem Dienst verknüpft ist. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen Sie eine serviceverknüpfte Rolle für CloudFront VPC Origins
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.
Anmerkung
Wenn der CloudFront Dienst die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
Um CloudFront VPC Origins-Ressourcen zu löschen, die von AWSServiceRoleForCloudFrontVPCOrigin
-
Löschen Sie die VPC-Ursprungsressourcen in Ihrem Konto.
Es kann einige Zeit dauern CloudFront , bis das Löschen der Ressourcen aus Ihrem Konto abgeschlossen ist. Wenn Sie die serviceverknüpfte Rolle nicht sofort löschen können, warten Sie und versuchen Sie es erneut.
So löschen Sie die serviceverknüpfte Rolle mit IAM
Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um das zu löschen AWSServiceRoleForCloudFrontVPCOrigin Rolle, die mit einem Dienst verknüpft ist. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Unterstützte Regionen für serviceverknüpfte Rollen mit CloudFront VPC Origins
CloudFront VPC Origins unterstützt nicht die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Sie können das AWSServiceRoleForCloudFrontVPCOrigin Rolle in den folgenden Regionen.
| Name der Region | Regions-ID | Support in CloudFront |
|---|---|---|
| USA Ost (Nord-Virginia) | us-east-1 | Ja |
| USA Ost (Ohio) | us-east-2 | Ja |
| USA West (Nordkalifornien) | us-west-1 (außer AZ usw1-az2) | Ja |
| USA West (Oregon) | us-west-2 | Ja |
| Afrika (Kapstadt) | af-south-1 | Ja |
| Asien-Pazifik (Hongkong) | ap-east-1 | Ja |
| Asien-Pazifik (Jakarta) | ap-southeast-3 | Ja |
| Asien-Pazifik (Melbourne) | ap-southeast-4 | Ja |
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja |
| Asien-Pazifik (Hyderabad) | ap-south-2 | Ja |
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja |
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja |
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja |
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja |
| Asien-Pazifik (Tokyo) | ap-northeast-1 (außer AZ apne1-az3) | Ja |
| Kanada (Zentral) | ca-central-1 (außer AZ cac1-az3) | Ja |
| Kanada West (Calgary) | ca-west-1 | Ja |
| Europa (Frankfurt) | eu-central-1 | Ja |
| Europa (Ireland) | eu-west-1 | Ja |
| Europa (London) | eu-west-2 | Ja |
| Europa (Mailand) | eu-south-1 | Ja |
| Europa (Paris) | eu-west-3 | Ja |
| Europa (Spanien) | eu-south-2 | Ja |
| Europa (Stockholm) | eu-north-1 | Ja |
| Europa (Zürich) | eu-central-2 | Ja |
| Israel (Tel Aviv) | il-central-1 | Ja |
| Naher Osten (Bahrain) | me-south-1 | Ja |
| Naher Osten (VAE) | me-central-1 | Ja |
| Südamerika (São Paulo) | sa-east-1 | Ja |
