Utilisation de rôles liés à un service pour Aurora DSQL
Aurora DSQL utilise des rôles liés à un service AWS Identity and Access Management (IAM). Un rôle lié à un service est un type unique de rôle IAM lié directement à Aurora DSQL. Les rôles liés à un service sont prédéfinis par Aurora DSQL et incluent toutes les autorisations que le service requiert pour appeler les Services AWS au nom de votre cluster Aurora DSQL.
Un rôle lié à un service simplifie la configuration des processus, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises pour utiliser Aurora DSQL. Lorsque vous créez un cluster, Aurora DSQL crée automatiquement le rôle lié à un service pour vous. Vous pouvez supprimer le rôle lié à un service uniquement après avoir supprimé tous les clusters. Vos ressources Aurora DSQL sont ainsi protégées, car vous ne pouvez pas involontairement supprimer les autorisations nécessaires pour y accéder.
Pour plus d’informations sur les autres services qui prennent en charge les rôles liés à un service, reportez-vous aux Services AWS qui fonctionnent avec IAM et recherchez les services comportant un Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien permettant de consulter les détails du rôle pour ce service.
Les rôles liés à un service sont disponibles dans toutes les régions Aurora DSQL prises en charge.
Autorisations des rôles liés à un service pour Aurora DSQL
Aurora DSQL utilise le rôle lié au service nommé AWSServiceRoleForAuroraDsql : permet à Amazon Aurora DSQL de créer et de gérer des ressources AWS en votre nom. Ce rôle lié à un service est attaché à la politique gérée suivante : AuroraDsqlServiceLinkedRolePolicy.
Note
Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Il se peut que vous rencontriez le message d’erreur suivant : You don't have the permissions to create an Amazon Aurora DSQL service-linked role. Si vous voyez ce message, vérifiez que vous avez activé les autorisations suivantes :
Pour plus d’informations, consultez Autorisations des rôles liés à un service.
Créer un rôle lié à un service
Vous n’avez pas besoin de créer manuellement un rôle lié à un service AuroraDSQLServiceLinkedRolePolicy. Aurora DSQL crée automatiquement le rôle lié au service pour vous. Si le rôle lié à un service AuroraDSQLServiceLinkedRolePolicy a été supprimé de votre compte, Aurora DSQL crée le rôle lorsque vous lancez un nouveau cluster Aurora DSQL.
Modification d’un rôle lié à un service
Aurora DSQL ne vous permet pas de modifier le rôle lié au service AuroraDSQLServiceLinkedRolePolicy. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence au rôle. Cependant, vous pouvez modifier la description du rôle à l’aide de la console IAM, de l’AWS Command Line Interface (AWS CLI) ou de l’API IAM.
Supprimer un rôle lié à un service
Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement.
Avant de pouvoir supprimer un rôle lié à un service pour un compte, vous devez supprimer tous les clusters du compte.
Vous pouvez utiliser la console IAM, l’AWS CLI ou l’API IAM pour supprimer un rôle lié à un service. Pour plus d’informations, consultez Création d’un rôle lié à un service dans le Guide de l’utilisateur IAM.
Régions prises en charge pour les rôles liés à un service Aurora DSQL
Aurora DSQL prend en charge l’utilisation des rôles liés à un service dans toutes les régions où le service est disponible. Pour plus d’informations, consultez Régions et points de terminaison AWS.
