Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
# Verwenden von serviceverknüpften Rollen für Amazon FSx
Amazon FSx verwendet AWS Identity and Access Management (IAM) [serviceverknüpfte Rollen](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Amazon verknüpft ist. FSx Servicebezogene Rollen sind von Amazon vordefiniert FSx und beinhalten alle Berechtigungen, die der Service benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.
Eine serviceverknüpfte Rolle FSx erleichtert die Einrichtung von Amazon, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. Amazon FSx definiert die Berechtigungen seiner serviceverknüpften Rollen, und sofern nicht anders definiert, FSx kann nur Amazon seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.
Sie können eine serviceverknüpfte Rolle erst löschen, nachdem ihre verwandten Ressourcen gelöscht wurden. Dies schützt Ihre FSx Amazon-Ressourcen, da Sie die Zugriffsberechtigung für die Ressourcen nicht versehentlich entziehen können.
**Informationen zu anderen Services, die serviceverknüpfte Rollen unterstützen, finden Sie unter [AWS Services, die mit IAM funktionieren](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html). Suchen Sie dort in der Spalte Service-verknüpfte Rollen nach den Services, für die **Ja steht**.** Wählen Sie über einen Link **Ja** aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
## Servicebezogene Rollenberechtigungen für Amazon FSx
Amazon FSx verwendet zwei mit Services verknüpfte Rollen`AWSServiceRoleForFSxS3Access_fs-01234567890`, die benannt sind `AWSServiceRoleForAmazonFSx` und bestimmte Aktionen in Ihrem Konto ausführen. Beispiele für diese Aktionen sind die Erstellung elastischer Netzwerkschnittstellen für Ihre Dateisysteme in Ihrer VPC und der Zugriff auf Ihr Daten-Repository in einem Amazon S3 S3-Bucket. Denn `AWSServiceRoleForFSxS3Access_fs-01234567890` diese serviceverknüpfte Rolle wird für jedes Amazon FSx for Lustre-Dateisystem erstellt, das Sie erstellen und das mit einem S3-Bucket verknüpft ist.
### AWSServiceRoleForAmazonFSx Einzelheiten zu den Berechtigungen
Denn `AWSServiceRoleForAmazonFSx` die Rollenberechtigungsrichtlinie ermöglicht es Amazon FSx , die folgenden administrativen Aktionen im Namen des Benutzers für alle zutreffenden AWS Ressourcen durchzuführen:
Aktualisierungen dieser Richtlinie finden Sie unter [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy).
**Anmerkung**
Das AWSService RoleForAmazon FSx wird von allen FSx Amazon-Dateisystemtypen verwendet; einige der aufgelisteten Berechtigungen gelten nicht FSx für Lustre.
+ `ds`— Ermöglicht Amazon, Anwendungen FSx in Ihrem Verzeichnis einzusehen, zu autorisieren und deren Autorisierung aufzuheben. Directory Service
+ `ec2`— Erlaubt Amazon FSx , Folgendes zu tun:
+ Netzwerkschnittstellen, die mit einem FSx Amazon-Dateisystem verknüpft sind, anzeigen, erstellen und deren Zuordnung aufheben.
+ Zeigen Sie eine oder mehrere Elastic IP-Adressen an, die mit einem FSx Amazon-Dateisystem verknüpft sind.
+ Sehen Sie sich Amazon VPCs, Sicherheitsgruppen und Subnetze an, die mit einem FSx Amazon-Dateisystem verknüpft sind.
+ Weisen Sie den Netzwerkschnittstellen von Kunden, die über ein `AmazonFSx.FileSystemId` Tag verfügen, IPv6 Adressen zu.
+ Hebt die Zuweisung von IPv6 Adressen zu Netzwerkschnittstellen von Kunden auf, die über ein `AmazonFSx.FileSystemId` Tag verfügen.
+ Um eine erweiterte Sicherheitsgruppenvalidierung aller Sicherheitsgruppen bereitzustellen, die mit einer VPC verwendet werden können.
+ Erstellen Sie eine Berechtigung für einen AWS-autorisierten Benutzer, bestimmte Operationen an einer Netzwerkschnittstelle auszuführen.
+ `cloudwatch`— Ermöglicht Amazon FSx , metrische Datenpunkte CloudWatch unter dem FSx Namespace AWS/zu veröffentlichen.
+ `route53`— Ermöglicht Amazon FSx , eine Amazon-VPC mit einer privaten gehosteten Zone zu verknüpfen.
+ `logs`— Ermöglicht Amazon FSx , CloudWatch Log-Streams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer Auditprotokolle für den Dateizugriff auf ein Dateisystem FSx für Windows-Dateiserver an einen CloudWatch Logs-Stream senden.
+ `firehose`— Ermöglicht Amazon FSx , Amazon Data Firehose-Lieferstreams zu beschreiben und in sie zu schreiben. Auf diese Weise können Benutzer die Dateizugriffs-Audit-Logs für ein Dateisystem FSx für Windows File Server in einem Amazon Data Firehose-Lieferstream veröffentlichen.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
Alle Aktualisierungen dieser Richtlinie werden unter beschrieben[FSx Aktualisierungen der AWS verwalteten Richtlinien durch Amazon](security-iam-awsmanpol.md#security-iam-awsmanpol-updates).
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigungen](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im IAM-Benutzerhandbuch.
### AWSServiceRoleForFSxEinzelheiten zu den S3Access-Berechtigungen
Denn die Rollenberechtigungsrichtlinie ermöglicht es Amazon `AWSServiceRoleForFSxS3Access_file-system-id` FSx , die folgenden Aktionen in einem Amazon S3-Bucket durchzuführen, der das Daten-Repository für ein Amazon FSx for Lustre-Dateisystem hostet.
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutObject`
Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter [Serviceverknüpfte Rollenberechtigung](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) im *IAM-Benutzerhandbuch*.
## Eine serviceverknüpfte Rolle für Amazon erstellen FSx
Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie ein Dateisystem in der AWS-Managementkonsole, der oder der AWS API erstellen AWS CLI, FSx erstellt Amazon die serviceverknüpfte Rolle für Sie.
**Wichtig**
Diese serviceverknüpfte Rolle kann in Ihrem Konto erscheinen, wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die von dieser Rolle unterstützten Features verwendet. Weitere Informationen finden Sie unter [Eine neue Rolle ist in meinem IAM-Konto erschienen](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie ein Dateisystem erstellen, FSx erstellt Amazon die serviceverknüpfte Rolle erneut für Sie.
## Bearbeitung einer serviceverknüpften Rolle für Amazon FSx
Amazon FSx erlaubt Ihnen nicht, diese serviceverknüpften Rollen zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter [Bearbeiten einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) im *IAM-Benutzerhandbuch*.
## Löschen einer serviceverknüpften Rolle für Amazon FSx
Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre Dateisysteme und Backups löschen, bevor Sie die serviceverknüpfte Rolle manuell löschen können.
**Anmerkung**
Wenn der FSx Amazon-Service die Rolle verwendet, wenn Sie versuchen, die Ressourcen zu löschen, schlägt das Löschen möglicherweise fehl. Wenn dies passiert, warten Sie einige Minuten und versuchen Sie es erneut.
**So löschen Sie die serviceverknüpfte Rolle mit IAM**
Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die AWSServiceRoleForAmazonFSx-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter [Löschen einer serviceverknüpften Rolle](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) im *IAM-Leitfaden*.
## Unterstützte Regionen für Rollen im FSx Zusammenhang mit Amazon Services
Amazon FSx unterstützt die Verwendung von Rollen im Zusammenhang mit Services in allen Regionen, in denen der Service verfügbar ist. Weitere Informationen finden Sie unter [AWS Regionen und Endpunkte](https://docs.aws.amazon.com/general/latest/gr/rande.html).