Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para Amazon EFS

Amazon Elastic File System utiliza un rol vinculado a un servicio AWS Identity and Access Management (IAM). El rol vinculado a un servicio de Amazon EFS es un tipo único de rol de IAM que está vinculado directamente a Amazon EFS. La función vinculada al servicio de Amazon EFS predefinida incluye los permisos que el servicio necesita para llamar a otros Servicios de AWS en su nombre.

Un rol vinculado a servicios simplifica la configuración de Amazon EFS porque ya no tendrá que agregar de forma manual los permisos necesarios. Amazon EFS define los permisos de sus roles vinculados a servicios y solo Amazon EFS puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se puede asociar a ninguna otra entidad de IAM.

Solo puede eliminar un rol vinculado a servicios de Amazon EFS después de eliminar sus sistemas de archivos de Amazon EFS. De esta forma, se protegen los recursos de Amazon EFS, ya que se evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

La función vinculada al servicio permite ver todas las llamadas a la API. AWS CloudTrail Esta ayuda a monitorizar y auditar los requisitos, ya que se puede hacer un seguimiento de todas las acciones que Amazon EFS realiza en su nombre. Para obtener más información, consulte Entradas de registro para roles vinculados al servicio EFS.

Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Permisos de roles vinculados a un servicio para Amazon EFS.

Amazon EFS utiliza el rol vinculado al servicio denominado AWSServiceRoleForAmazonElasticFileSystempara permitir que Amazon EFS llame y gestione AWS los recursos en nombre de sus sistemas de archivos de EFS.

El rol AWSService RoleForAmazonElasticFileSystem vinculado al servicio confía en que asumirá el elasticfilesystem.amazonaws.com rol.

La política de permisos del rol permite que Amazon EFS realice las acciones incluidas en el JSON de definición de política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "*"
        }
    ]
}

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a un servicio para Amazon EFS

En la mayoría de los casos, no es necesario crear manualmente un rol vinculado a un servicio. Al crear destinos de montaje o una configuración de replicación para su sistema de archivos EFS en la AWS Management Console AWS CLI, la o la AWS API, Amazon EFS crea automáticamente la función vinculada al servicio.

Además, si lo elimina manualmente y service-linked-role, a continuación, necesita volver a crearlo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear destinos de montaje o una configuración de replicación para su sistema de archivos EFS, Amazon EFS crea automáticamente la función vinculada al servicio.

Sin embargo, si Amazon EFS no crea la función vinculada a servicios service-linked-role o si ha empezado a utilizarla antes de que admitiera funciones vinculadas a servicios, puede crear manualmente la función vinculada a servicios. Para obtener instrucciones, consulte Crear un rol vinculado a un servicio en la Guía del usuario de IAM.

Edición de un rol vinculado a un servicio para Amazon EFS

Amazon EFS no le permite editar el rol vinculado a un servicio de AWSServiceRoleForAmazonElasticFileSystem. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Actualizar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para Amazon EFS

Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe limpiar los recursos del rol vinculado al servicio antes de eliminarlo manualmente. Para obtener más información, consulte Limpie los recursos y proteja su cuenta de AWS.

Utilice la consola de IAM AWS CLI, la o la AWS API para eliminar el rol vinculado al servicio. AWSService RoleForAmazonElasticFileSystem Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones compatibles con las funciones vinculadas al servicio de Amazon EFS

Amazon EFS admite el uso de funciones vinculadas a servicios en todos los Regiones de AWS lugares en los que el servicio esté disponible. Para obtener más información, consulte los puntos finales AWS del servicio en la Guía del Referencia general de AWS usuario.