Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

# Verwenden von dienstbezogenen Rollen für Directory Service
<a name="using-service-linked-roles"></a>

AWS Directory Service verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Rollen. Eine serviceverknüpfte Rolle ist ein einzigartiger Typ von IAM-Rolle, mit der direkt verknüpft ist. Directory Service Service-linked Rollen sind von vordefiniert Directory Service und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. 

Eine dienstbezogene Rolle Directory Service erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Directory Service definiert die Berechtigungen ihrer dienstbezogenen Rollen und Directory Service kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen enthält die Vertrauens- und Berechtigungsrichtlinie, die keinen anderen IAM-Entitäten zugewiesen werden kann.

Sie können eine serviceverknüpfte Rolle erst löschen, nachdem die zugehörigen Ressourcen gelöscht wurden. Dadurch wird verhindert, dass Sie den Zugriff auf Ihre Directory Service Ressourcen verlieren, da Sie die Zugriffsberechtigungen für die Ressourcen nicht versehentlich entfernen können.

Weitere Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS -Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html).

**Topics**
+ [Service-linked Rollenberechtigungen für Directory Service](#slr-permissions)
+ [Erstellen einer serviceverknüpften Rolle für Directory Service](#create-slr)
+ [Bearbeiten einer serviceverknüpften Rolle für Directory Service](#edit-slr)
+ [Löschen einer serviceverknüpften Rolle für Directory Service](#delete-slr)
+ [Unterstützte Regionen für Directory Service Serviceverknüpfte Rollen](#slr-regions)

## Service-linked Rollenberechtigungen für Directory Service
<a name="slr-permissions"></a>

Directory Service verwendet die dienstbezogene Rolle mit dem Namen **AWSServiceRoleForDirectoryService**— Ermöglicht AWS die Überwachung der selbstverwalteten Domänencontroller des Kunden.

Die serviceverknüpfte Rolle **AWSServiceRoleForDirectoryService** vertraut darauf, dass die folgenden Services die Rolle annehmen:
+ `ds.amazonaws.com`

Die genannte Rollenberechtigungsrichtlinie AWSDirectoryServiceServiceRolePolicy ermöglicht es Directory Service , die folgenden Aktionen für die angegebenen Ressourcen durchzuführen. Die vollständigen Richtlinienberechtigungen finden Sie [AWSDirectoryServiceServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSDirectoryServiceServiceRolePolicy.html)in der *Referenz für AWS verwaltete Richtlinien*.
+ `ec2`— Ermöglicht dem Service, Netzwerkressourcen wie VPCs, Subnetze, Sicherheitsgruppen und Netzwerkschnittstellen zu beschreiben, um hybride Konnektivitätskonfigurationen zu validieren:
  + `ec2:DescribeAvailabilityZones`
  + `ec2:DescribeDhcpOptions`
  + `ec2:DescribeNetworkInterfaces`
  + `ec2:DescribeRouteTables`
  + `ec2:DescribeSecurityGroups`
  + `ec2:DescribeSubnets`
  + `ec2:DescribeVpcs`
+ `ssm`— Ermöglicht dem Dienst, PowerShell Guilabels zu Überwachungs- und Bewertungszwecken an lokale Domänencontroller zu senden und zu überwachen:
  + `ssm:Sendguilabel`
  + `ssm:Listguilabels`
  + `ssm:GetguilabelInvocation`
  + `ssm:DescribeInstanceInformation`
  + `ssm:GetConnectionStatus`

Sie müssen Berechtigungen konfigurieren, damit eine Benutzer, Gruppen oder Rollen eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie im [Service-linked *IAM-Benutzerhandbuch* unter Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions).

## Erstellen einer serviceverknüpften Rolle für Directory Service
<a name="create-slr"></a>

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie AWS die Überwachung der selbstverwalteten Domain-Controller des Kunden in der AWS-Managementkonsole, der oder der AWS API AWS CLI zulassen, Directory Service wird die serviceverknüpfte Rolle für Sie erstellt. Weitere Informationen zu dieser Änderung finden Sie unter [Richtlinienaktualisierungen](https://docs.aws.amazon.com/directoryservice/latest/admin-guide/security-iam-awsmanpol.html#security-iam-awsmanpol-updates).

**Wichtig**  
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Außerdem gilt: Wenn Sie den Directory Service Dienst vor dem 1. Januar 2017 genutzt haben, als er begann, dienstbezogene Rollen zu unterstützen, haben Sie die **AWSServiceRoleForDirectoryService**Rolle dann in Ihrem Konto Directory Service erstellt. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem AWS-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

## Bearbeiten einer serviceverknüpften Rolle für Directory Service
<a name="edit-slr"></a>

Directory Service erlaubt es Ihnen nicht, die mit dem **AWSServiceRoleForDirectoryService**Dienst verknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.

## Löschen einer serviceverknüpften Rolle für Directory Service
<a name="delete-slr"></a>

Wenn Sie ein Feature oder einen Service, die bzw. der eine serviceverknüpfte Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpfte Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

**Anmerkung**  
Wenn der Directory Service Dienst die Rolle zu dem Zeitpunkt verwendet, zu dem Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.

**Um zu löschen Directory Service Ressourcen, die verwendet werden von AWSServiceRoleForDirectoryService**
+ Informationen zum Löschen Ihres Verzeichnisses finden Sie unter[Löschen Ihres AWS Verwaltetes Microsoft AD](ms_ad_delete.md).

**So löschen Sie die serviceverknüpfte Rolle mit IAM**

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die **AWSServiceRoleForDirectoryService**serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Benutzerhandbuch*.

## Unterstützte Regionen für Directory Service Serviceverknüpfte Rollen
<a name="slr-regions"></a>

Directory Service unterstützt nicht die Verwendung von dienstbezogenen Rollen in allen Regionen, in denen der Dienst verfügbar ist. Directory Service Verwendet die **AWSServiceRoleForDirectoryService**Rolle jedoch nur dort, AWS-Regionen wo Sie sich für Hybridverzeichnisse anmelden können.


**Unterstützung für Regionen mit Opt-In für Hybridverzeichnisse**  

| Name der Region | Regions-ID |  Opt-in-Unterstützung | 
| --- | --- | --- | 
| USA Ost (Nord-Virginia) | us-east-1 | Ja | 
| USA Ost (Ohio) | us-east-2 | Ja | 
| USA West (Nordkalifornien) | us-west-1 | Ja | 
| USA West (Oregon) | us-west-2 | Ja | 
| Europa (Stockholm) | eu-north-1 | Ja | 
| Naher Osten (Bahrain) | me-south-1 | Ja | 
| Asien-Pazifik (Mumbai) | ap-south-1 | Ja | 
| Europa (Paris) | eu-west-3 | Ja | 
| Asien-Pazifik (Jakarta) | ap-southeast-3 | Ja | 
| Afrika (Kapstadt) | af-south-1 | Ja | 
| Europa (Ireland) | eu-west-1 | Ja | 
| Naher Osten (VAE) | me-central-1 | Ja | 
| Europa (Frankfurt) | eu-central-1 | Ja | 
| Südamerika (São Paulo) | sa-east-1 | Ja | 
| Asien-Pazifik (Hongkong) | ap-east-1 | Ja | 
| Asien-Pazifik (Hyderabad) | ap-south-2 | Ja | 
| Asien-Pazifik (Seoul) | ap-northeast-2 | Ja | 
| Asien-Pazifik (Osaka) | ap-northeast-3 | Ja | 
| Europa (London) | eu-west-2 | Ja | 
| Asien-Pazifik (Melbourne) | ap-southeast-4 | Ja | 
| Europa (Milan) | eu-south-1 | Ja | 
| Asien-Pazifik (Tokyo) | ap-northeast-1 | Ja | 
| Asien-Pazifik (Singapore) | ap-southeast-1 | Ja | 
| Asien-Pazifik (Sydney) | ap-southeast-2 | Ja | 
| Kanada (Zentral) | ca-central-1 | Ja | 
| Europa (Spain) | eu-south-2 | Ja | 
| Europa (Zürich) | eu-central-2 | Ja |