Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des rôles liés à un service pour Amazon EFS

Amazon Elastic File System utilise un rôle lié à un service AWS Identity and Access Management (IAM). Un rôle lié à un service Amazon EFS est un type unique de rôle IAM lié directement à Amazon EFS. Le rôle prédéfini lié au service Amazon EFS inclut les autorisations dont le service a besoin pour appeler d'autres personnes en votre Services AWS nom.

Un rôle lié à un service simplifie la configuration d’Amazon EFS, car vous n’avez pas besoin d’ajouter manuellement les autorisations requises. Amazon EFS définit les autorisations de ses rôles liés à un service et seul Amazon EFS peut endosser ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer le rôle lié à un service Amazon EFS uniquement après avoir supprimé vos systèmes de fichiers Amazon EFS. Vos ressources Amazon EFS sont ainsi protégées, car vous ne pouvez pas involontairement supprimer l’autorisation d’accéder aux ressources.

Le rôle lié à un service permet à tous les appels d'API d'être visibles. AWS CloudTrail Cela facilite le suivi et la vérification des exigences, car vous pouvez suivre toutes les actions exécutées par Amazon EFS en votre nom. Pour de plus amples informations, veuillez consulter Entrées de journal pour les rôles liés à un service EFS.

Pour plus d’informations, consultez Autorisations de rôles liés à un service dans le Guide de l’utilisateur IAM.

Autorisations du rôle lié à un service pour Amazon EFS.

Amazon EFS utilise le rôle lié au service nommé AWSServiceRoleForAmazonElasticFileSystempour permettre à Amazon EFS d'appeler et de gérer AWS des ressources pour le compte de vos systèmes de fichiers EFS.

Le rôle AWSService RoleForAmazonElasticFileSystem lié au service fait confiance à ce qu'elasticfilesystem.amazonaws.com.rproxy.govskope.cail assume le rôle.

La stratégie d’autorisations liée au rôle permet à Amazon EFS de réaliser les actions incluses dans la définition de la stratégie JSON :

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "*"
        }
    ]
}

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Pour plus d'informations, consultez la section Autorisations relatives aux rôles liés à un service dans le Guide de l'utilisateur IAM.

Création d’un rôle lié à un service pour Amazon EFS

Dans la plupart des cas, il n'est pas nécessaire de créer manuellement un rôle lié à un service. Lorsque vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS dans l' AWS Management Console AWS CLI AWS API, Amazon EFS crée le rôle lié au service pour vous.

En outre, si vous le supprimez manuellement service-linked-role, puis que vous devez le créer à nouveau, vous pouvez utiliser le même processus pour recréer le rôle dans votre compte. Lorsque vous créez des cibles de montage ou une configuration de réplication pour votre système de fichiers EFS, Amazon EFS crée le rôle lié au service pour vous.

Toutefois, si Amazon EFS ne crée pas le service-linked-role ou si vous avez commencé à utiliser Amazon EFS avant qu'il ne prenne en charge les rôles liés à un service, vous pouvez créer manuellement le rôle lié à un service. Pour obtenir des instructions, consultez la section Création d'un rôle lié à un service dans le guide de l'utilisateur IAM.

Modification d’un rôle lié à un service pour Amazon EFS

Amazon EFS ne vous autorise pas à modifier le rôle lié à un service AWSServiceRoleForAmazonElasticFileSystem. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir Mettre à jour un rôle lié à un service dans le Guide de l'utilisateur IAM.

Suppression d’un rôle lié à un service pour Amazon EFS

Si vous n’avez plus besoin d’utiliser une fonction ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement. Pour de plus amples informations, veuillez consulter Nettoyez les ressources et protégez votre AWS compte.

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au AWSService RoleForAmazonElasticFileSystem service. Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.

Régions prises en charge pour les rôles liés aux services Amazon EFS

Amazon EFS prend en charge l'utilisation de rôles liés à un service partout Régions AWS où le service est disponible. Pour plus d'informations, consultez la section Points AWS de terminaison du service dans le Guide de Références générales AWS l'utilisateur.