Utilisation de rôles liés à un service pour le VPN Site-to-Site - AWS Site-to-Site VPN
Autorisations de rôle liées au service pour le VPN Site-to-SiteCréation d'un rôle lié à un service pour le VPN Site-to-SiteModifier un rôle lié à un service pour un VPN Site-to-SiteSupprimer un rôle lié à un service pour le VPN Site-to-Site

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation de rôles liés à un service pour le VPN Site-to-Site

AWS Site-to-Site Le VPN utilise des AWS Identity and Access Management rôles liés à un service (IAM). Un rôle lié à un service est un type unique de rôle IAM directement lié au VPN. Site-to-Site Les rôles liés aux services sont prédéfinis par le Site-to-Site VPN et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom.

Un rôle lié à un service facilite la configuration du Site-to-Site VPN, car vous n'avez pas à ajouter manuellement les autorisations nécessaires. Site-to-Site Le VPN définit les autorisations associées à ses rôles liés aux services et, sauf indication contraire, seul le Site-to-Site VPN peut assumer ses rôles. Les autorisations définies comprennent la politique d’approbation et la politique d’autorisation. De plus, cette politique d’autorisation ne peut pas être attachée à une autre entité IAM.

Vous pouvez supprimer un rôle lié à un service uniquement après la suppression préalable de ses ressources connexes. Cela protège vos ressources Site-to-Site VPN car vous ne pouvez pas supprimer par inadvertance l'autorisation d'accès aux ressources.

Autorisations de rôle liées au service pour le VPN Site-to-Site

Site-to-Site Le VPN utilise le rôle lié à un service nommé AWSServiceRoleForVPCS2SVPN — Autoriser le Site-to-Site VPN à créer et à gérer des ressources liées à vos connexions VPN.

Le rôle lié au service AWSService RoleFor VPCS2 SVPN fait confiance au service suivant pour assumer le rôle :

  • s2svpn.amazonaws.com

Ce rôle lié à un service utilise la politique gérée AWSVPCS2 SVpn ServiceRolePolicy pour effectuer les actions suivantes sur les ressources spécifiées :

  • Lorsque vous utilisez l'authentification par certificat pour votre connexion VPN, AWS Site-to-Site VPN exportez les AWS Certificate Manager certificats de tunnel VPN pour les utiliser sur les points de terminaison du tunnel VPN.

  • Lorsque vous utilisez l'authentification par certificat pour votre connexion VPN, AWS Site-to-Site VPN gère le renouvellement des AWS Certificate Manager certificats du tunnel VPN.

  • Lorsque vous utilisez un stockage de clés SecretsManager pré-partagé pour votre connexion VPN, AWS Site-to-Site VPN gère le secret géré AWS Secrets Manager s2svpn de la connexion VPN.

Pour voir les autorisations de cette stratégie, consultez AWSVPCS2SVpnServiceRolePolicy dans le AWS Guide de référence des stratégies gérées par.

Création d'un rôle lié à un service pour le VPN Site-to-Site

Vous n’avez pas besoin de créer manuellement un rôle lié à un service. Lorsque vous créez une passerelle client avec un certificat privé ACM associé dans l' AWS API AWS Management Console AWS CLI, le Site-to-Site VPN crée le rôle lié au service pour vous.

Si vous supprimez ce rôle lié à un service et que vous avez ensuite besoin de le recréer, vous pouvez utiliser la même procédure pour recréer le rôle dans votre compte. Lorsque vous créez une passerelle client avec un certificat privé ACM associé, le Site-to-Site VPN crée à nouveau le rôle lié au service pour vous.

Modifier un rôle lié à un service pour un VPN Site-to-Site

Site-to-Site Le VPN ne vous permet pas de modifier le rôle lié au service AWSService RoleFor VPCS2 SVPN. Une fois que vous avez créé un rôle lié à un service, vous ne pouvez pas changer le nom du rôle, car plusieurs entités peuvent faire référence à ce rôle. Néanmoins, vous pouvez modifier la description du rôle à l’aide d’IAM. Pour plus d'informations, voir Modifier la description d'un rôle lié à un service dans le Guide de l'utilisateur IAM.

Supprimer un rôle lié à un service pour le VPN Site-to-Site

Si vous n’avez plus besoin d’utiliser une fonctionnalité ou un service qui nécessite un rôle lié à un service, nous vous recommandons de supprimer ce rôle. De cette façon, vous n’avez aucune entité inutilisée qui n’est pas surveillée ou gérée activement. Cependant, vous devez nettoyer les ressources de votre rôle lié à un service avant de pouvoir les supprimer manuellement.

Note

Si le service Site-to-Site VPN utilise le rôle lorsque vous essayez de supprimer les ressources, la suppression risque d'échouer. Si cela se produit, patientez quelques minutes et réessayez.

Pour supprimer les ressources Site-to-Site VPN utilisées par le AWSService RoleFor VPCS2 SVPN

Vous ne pouvez supprimer ce rôle lié à un service qu'après avoir supprimé toutes les passerelles client qui ont un certificat privé ACM associé. Cela garantit que vous ne pouvez pas supprimer par inadvertance l'autorisation d'accéder à vos certificats ACM utilisés par Site-to-Site des connexions VPN.

Pour supprimer manuellement le rôle lié à un service à l’aide d’IAM

Utilisez la console IAM, le AWS CLI, ou l' AWS API pour supprimer le rôle lié au service AWSService RoleFor VPCS2 SVPN. Pour plus d'informations, voir Supprimer un rôle lié à un service dans le Guide de l'utilisateur IAM.