Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für Amazon Aurora
Amazon Aurora verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit Amazon Aurora verknüpft ist. Servicebezogene Rollen sind von Aurora vordefiniert und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Services in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle macht die Nutzung von Amazon Aurora einfacher, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon Aurora definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, kann nur Amazon Aurora seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre Amazon Aurora-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.
Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter AWS -Services, die mit IAM funktionieren. Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Service-Linked Role (Serviceverknüpfte Rolle) angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Berechtigungen von serviceverknüpften Rollen für Amazon Aurora
Amazon Aurora verwendet die serviceverknüpfte Rolle namens AWSService RoleFor RDS, um Amazon RDS zu ermöglichen, AWS Dienste im Namen Ihrer aufzurufen.
Die dienstbezogene AWSService RoleFor RDS-Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
-
rds.amazonaws.com
Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonRDSServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt.
Weitere Informationen zu dieser Richtlinie, einschließlich des JSON-Richtliniendokuments, finden Sie bei Amazon RDSService RolePolicy im AWS Managed Policy Reference Guide.
Anmerkung
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:
Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.
Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS", "Condition": { "StringLike": { "iam:AWSServiceName":"rds.amazonaws.com" } } }
Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Erstellen einer serviceverknüpften Rolle für Amazon Aurora
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie einen DB-Cluster erstellen, erstellt Amazon Aurora die serviceverknüpfte Rolle für Sie.
Wichtig
Wenn Sie den Aurora-Service vor dem 1. Dezember 2017 genutzt haben, als er begann, serviceverknüpfte Rollen zu unterstützen, dann hat Amazon Aurora die AWSService RoleFor RDS-Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle wurde in meinem AWS Konto angezeigt.
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie einen DB-Cluster erstellen, erstellt Amazon Aurora wieder die serviceverknüpfte Rolle für Sie.
Bearbeiten einer serviceverknüpften Rolle für Amazon Aurora
Amazon Aurora erlaubt es Ihnen nicht, die mit dem AWSService RoleFor RDS-Dienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Löschen einer serviceverknüpften Rolle für Amazon Aurora
Wenn Sie eine Funktion oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch all Ihre DB-Cluster löschen, bevor Sie die serviceverknüpfte Rolle löschen können.
Bereinigen einer serviceverknüpften Rolle
Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.
So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt
Melden Sie sich bei der an AWS Management Console und öffnen Sie die IAM-Konsole unter. https://console.aws.amazon.com/iam/
-
Wählen Sie im Navigationsbereich der IAM Console Roles (Rollen) aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der AWSService RoleFor RDS-Rolle aus.
-
Wählen Sie auf der Übersichtsseite für die gewählte Rolle die Registerkarte Letzter Zugriff aus.
-
Überprüfen Sie auf der Registerkarte Letzter Zugriff die letzten Aktivitäten für die mit dem Dienst verknüpfte Rolle.
Anmerkung
Wenn Sie sich nicht sicher sind, ob Amazon Aurora die AWSService RoleFor RDS-Rolle verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt die Löschung fehl und Sie können die AWS -Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie warten, bis die Sitzung beendet wird, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.
Wenn Sie die AWSService RoleFor RDS-Rolle entfernen möchten, müssen Sie zuerst alle Ihre löschen.
Löschen aller Ihrer Cluster
Verwenden Sie eines der folgenden Verfahren, um einen einzelnen Cluster zu löschen. Wiederholen Sie dieses Verfahren für jeden der Cluster.
So löschen Sie einen Cluster (Konsole)
Öffnen Sie die Amazon RDS-Konsole unter https://console.aws.amazon.com/rds/
. -
Wählen Sie in der Liste Databases (Datenbanken) den Cluster aus, den Sie löschen möchten.
-
Wählen Sie bei Cluster Actions (Cluster-Aktionen) die Option Delete (Löschen).
-
Wählen Sie Delete (Löschen).
So löschen Sie einen Cluster (CLI)
Siehe delete-db-cluster in der AWS CLI -Befehlsreferenz.
So löschen Sie einen Cluster (API)
Weitere Informationen finden Sie im Amazon RDS API Reference unter DeleteDBCluster.
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die mit dem AWSService RoleFor RDS-Dienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.
Servicebezogene Rollenberechtigungen für Amazon RDS Beta
Amazon Aurora verwendet die benannte serviceverknüpfte RolleAWSServiceRoleForRDSBeta, um Amazon Aurora zu ermöglichen, AWS Dienste im Namen Ihrer RDS-DB-Ressourcen aufzurufen.
Die AWSService RoleFor RDSBeta servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
-
rds.amazonaws.com
Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonRDSBetaServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: A mazonRDSBeta ServiceRolePolicy.
Anmerkung
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:
Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.
Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSBetaServiceRolePolicy", "Condition": { "StringLike": { "iam:AWSServiceName":"custom.rds.amazonaws.com" } } }
Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
Servicebezogene Rolle für Amazon RDS Preview
Amazon Aurora verwendet die benannte serviceverknüpfte RolleAWSServiceRoleForRDSPreview, um Amazon Aurora zu ermöglichen, AWS Dienste im Namen Ihrer RDS-DB-Ressourcen aufzurufen.
Die AWSService RoleFor RDSPreview servicebezogene Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:
-
rds.amazonaws.com
Dieser dienstgebundenen Rolle ist eine Berechtigungsrichtlinie namens AmazonRDSPreviewServiceRolePolicy zugeordnet, die ihr Berechtigungen für den Betrieb in Ihrem Konto erteilt. Weitere Informationen finden Sie unter AWS verwaltete Richtlinie: A mazonRDSPreview ServiceRolePolicy.
Anmerkung
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Wenn Sie die folgende Fehlermeldung erhalten:
Unable to create the resource. Überprüfen Sie, ob Sie die Berechtigung haben, eine serviceverknüpfte Rolle zu erstellen. Andernfalls warten Sie und versuchen Sie es später noch einmal.
Stellen Sie sicher, dass Sie die folgenden Berechtigungen für Sie aktiviert sind:
{ "Action": "iam:CreateServiceLinkedRole", "Effect": "Allow", "Resource": "arn:aws:iam::*:role/aws-service-role/custom.rds.amazonaws.com/AmazonRDSPreviewServiceRolePolicy", "Condition": { "StringLike": { "iam:AWSServiceName":"custom.rds.amazonaws.com" } } }
Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.
