Uso de roles vinculados al servicio para FSx para Windows File Server - Amazon FSx for Windows File Server
Permisos de roles vinculados a servicios para FSx para Windows File ServerCreación de un rol vinculado a servicios para FSx para Windows File ServerEdición de un rol vinculado a servicios para FSx para Windows File ServerEliminación de un rol vinculado a un servicio para FSx para Windows File ServerRegiones admitidas para las características vinculadas a servicios de FSx para Windows File Server

Uso de roles vinculados al servicio para FSx para Windows File Server

Amazon FSx para Windows File Server utiliza roles vinculados a servicios AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que se encuentra vinculado directamente a FSx para Windows File Server. Los roles vinculados a servicios se encuentran predefinidos por FSx para Windows File Server e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre.

Un rol vinculado al servicio simplifica la configuración de FSx para Windows File Server, porque ya no tendrá que agregar manualmente los permisos requeridos. FSx para Windows File Server define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo FSx para Windows File Server puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda adjuntar a ninguna otra entidad de IAM.

Solo es posible eliminar un rol vinculado a un servicio después de eliminar sus recursos relacionados. De esta forma se protegen los recursos de FSx para Windows File Server, ya que evita que se puedan eliminar accidentalmente permisos de acceso a los recursos.

Para obtener información acerca de otros servicios que admiten roles vinculados a servicios, consulte AWSServicios que funcionan con IAM y busque los servicios que muestran en la columna Rol vinculado a un servicio. Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios para FSx para Windows File Server

FSx para Windows File Server utiliza el rol vinculado al servicio denominado AWSServiceRoleForAmazonFSx, que realiza determinadas acciones en su cuenta, como la creación de interfaces de red Elastic para los sistemas de archivos de la VPC.

La política de permisos del rol permite que FSx para Windows File Server realice las siguientes acciones en los recursos de AWS vigentes y especificados:

No puede asociar AmazonFSxServiceRolePolicy a las entidades de IAM. Esta política está asociada a un rol vinculado a servicios que permite que FSx gestione los recursos de AWS en su nombre. Para obtener más información, consulte Uso de roles vinculados al servicio para FSx para Windows File Server.

Para obtener actualizaciones de esta política, consulte AmazonFSxServiceRolePolicy (Política de rol de servicio de Amazon FSx).

Esta política concede permisos administrativos que permiten que FSx gestione los recursos de AWS en nombre del usuario.

Detalles de los permisos

Los permisos del rol AmazonFSxServiceRolePolicy se definen mediante la política administrada por AWS AmazonFSxServiceRolePolicy. AmazonFSxServiceRolePolicy tiene los siguientes permisos:

nota

Todos los tipos de sistemas de archivos de Amazon FSx utilizan AmazonFSxServiceRolePolicy. Es posible que algunos de los permisos enumerados no correspondan a FSx para Windows.

  • ds: permite que FSx vea, autorice y desautorice las aplicaciones del directorio de Directory Service.

  • ec2: permite realizar las siguientes tareas:

    • Ver, crear y desasociar las interfaces de red asociadas a un sistema de archivos Amazon FSx.

    • Ver una o varias direcciones IP elásticas asociadas a un sistema de archivos de Amazon FSx.

    • Ver las VPC de Amazon, los grupos de seguridad y las subredes asociadas a un sistema de archivos de Amazon FSx.

    • Asigne direcciones IPv6 a las interfaces de red de los clientes que tengan una etiqueta AmazonFSx.FileSystemId.

    • Anule la asignación de las direcciones IPv6 de las interfaces de red de los clientes que tengan una etiqueta AmazonFSx.FileSystemId.

    • Para proporcionar una validación mejorada de los grupos de seguridad de todos los grupos de seguridad que se pueden usar con una nube privada virtual (VPC).

    • Crear un permiso para que un usuario autorizado por AWS realice determinadas operaciones en una interfaz de red.

  • cloudwatch: permite que FSx publique puntos de datos métricos en CloudWatch con el espacio de nombres AWS/FSX.

  • route53: permite que FSx asocie una Amazon VPC con una zona alojada privada.

  • logs: permite que FSx describa y escriba en los flujos de registro de los Registros de CloudWatch. Esto da lugar a que los usuarios puedan enviar los registros de auditoría de acceso a los archivos de un sistema de archivos de FSx para Windows File Server a un flujo de registro de CloudWatch.

  • firehose: permite que FSx describa y escriba en los flujos de entrega de Amazon Data Firehose. Esto es para que los usuarios puedan publicar los registros de auditoría de acceso de un sistema de archivos de FSx para Windows File Server a un flujo de entrega de Amazon Data Firehose.

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateFileSystem",
            "Effect": "Allow",
            "Action": [                
                "ds:AuthorizeApplication",  
                "ds:GetAuthorizedApplicationDetails",
                "ds:UnauthorizeApplication",                 
                "ec2:CreateNetworkInterface",  
                "ec2:CreateNetworkInterfacePermission",   
                "ec2:DeleteNetworkInterface", 
                "ec2:DescribeAddresses",
                "ec2:DescribeDhcpOptions",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeRouteTables",
                "ec2:DescribeSecurityGroups", 
                "ec2:DescribeSubnets", 
                "ec2:DescribeVPCs",
                "ec2:DisassociateAddress",
                "ec2:GetSecurityGroupsForVpc",          
                "route53:AssociateVPCWithHostedZone"
            ],
            "Resource": "*"
        },
        {
            "Sid": "PutMetrics",
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": [
                "*"
            ],
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/FSx"
                }
            }
        },

        {   
            "Sid": "TagResourceNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateTags"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "StringEquals": {
                    "ec2:CreateAction": "CreateNetworkInterface"
                },
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": "AmazonFSx.FileSystemId"
                }
            }
        },
        {
            "Sid": "ManageNetworkInterface",
            "Effect": "Allow",
            "Action": [
                "ec2:AssignPrivateIpAddresses",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:UnassignPrivateIpAddresses"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:network-interface/*"
            ],
            "Condition": {
                "Null": {
                    "aws:ResourceTag/AmazonFSx.FileSystemId": "false"
                }
            }
        },
        {            
            "Sid": "ManageRouteTable",
            "Effect": "Allow",
            "Action": [
                "ec2:CreateRoute",
                "ec2:ReplaceRoute",
                "ec2:DeleteRoute"
            ],
            "Resource": [
                "arn:aws:ec2:*:*:route-table/*"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
                }
            }
        },
        {
            "Sid": "PutCloudWatchLogs",
            "Effect": "Allow",
            "Action": [                
                "logs:DescribeLogGroups",
                "logs:DescribeLogStreams",
                "logs:PutLogEvents"
            ],
            "Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
        },
        {
            "Sid": "ManageAuditLogs",
            "Effect": "Allow",
            "Action": [                
                "firehose:DescribeDeliveryStream",
                "firehose:PutRecord",
                "firehose:PutRecordBatch"
            ],
            "Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
        }
    ]
}

Todas las actualizaciones de esta política están detalladas en Las actualizaciones de Amazon FSx a las políticas administradas de AWS.

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Creación de un rol vinculado a servicios para FSx para Windows File Server

No necesita crear manualmente un rol vinculado a servicios. Cuando crea un sistema de archivo en la Consola de administración de AWS, la CLI de IAM o la API de IAM, FSx para Windows File Server se encarga de crear el rol vinculado a servicios en su nombre.

importante

Este rol vinculado a servicios puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Al crear un sistema de archivos, FSx para Windows File Server vuelve a crear el rol vinculado al servicio por usted.

Edición de un rol vinculado a servicios para FSx para Windows File Server

FSx para Windows File Server no le permite editar el rol vinculado a servicios. Después de crear un rol vinculado al servicio, no podrá cambiar el nombre del rol, ya que varias entidades podrían hacer referencia al rol. Sin embargo, sí puede editar la descripción del rol con IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio para FSx para Windows File Server

Si ya no necesita usar una característica o servicio que requieran un rol vinculado a un servicio, le recomendamos que elimine dicho rol. De esta forma no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, debe eliminar todos los sistemas de archivo y copias de seguridad para poder eliminar el rol vinculado al servicio de forma manual.

nota

Si el servicio de FSx para Windows File Server utiliza el rol al intentar eliminar los recursos, se podría generar un error en la eliminación. En tal caso, espere unos minutos e intente de nuevo la operación.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Utilice la consola de IAM, la CLI de IAM o la API de IAM para eliminar el rol vinculado a servicios . Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para las características vinculadas a servicios de FSx para Windows File Server

FSx para Windows File Server admite el uso de roles vinculados al servicio en todas las regiones en las que se encuentra disponible el servicio. Para obtener más información, consulte Regiones y puntos de conexión de AWS.