Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.
Menggunakan peran tertaut layanan untuk Amazon MQ
Amazon MQ menggunakan peran terkait layanan AWS Identity and Access Management (IAM). Peran tertaut layanan adalah tipe IAM role unik yang ditautkan langsung ke Amazon MQ. Peran terkait layanan telah ditentukan sebelumnya oleh Amazon MQ dan mencakup semua izin yang diperlukan layanan untuk memanggil layanan lain atas nama Anda. AWS
Peran tertaut layanan mempermudah pengaturan Amazon MQ karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon MQ menentukan izin dari peran tertaut layanan, kecuali jika ditentukan lain, hanya Amazon MQ yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.
Anda dapat menghapus peran yang terhubung dengan layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini dapat melindungi sumber daya Amazon MQ karena Anda tidak dapat secara ceroboh menghapus izin untuk mengakses sumber daya.
Untuk informasi tentang layanan lain yang support peran tertaut layanan, lihat AWS layanan yang bekerja dengan IAM dan mencari layanan yang memiliki Ya di kolom Peran Tertaut Layanan. Pilih Ya dengan tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.
Izin peran tertaut layanan untuk Amazon MQ
Amazon MQ menggunakan peran terkait layanan bernama MQ AWSServiceRoleForAmazon— Amazon MQ menggunakan peran terkait layanan ini untuk memanggil layanan atas nama Anda. AWS
Peran terkait layanan AWSService RoleForAmazon MQ mempercayai layanan berikut untuk mengambil peran:
-
mq.amazonaws.com
Amazon MQ menggunakan kebijakan izin AmazonMQServiceRolePolicy
-
Tindakan:
ec2:CreateVpcEndpointpada sumber dayavpc. -
Tindakan:
ec2:CreateVpcEndpointpada sumber dayasubnet. -
Tindakan:
ec2:CreateVpcEndpointpada sumber dayasecurity-group. -
Tindakan:
ec2:CreateVpcEndpointpada sumber dayavpc-endpoint. -
Tindakan:
ec2:DescribeVpcEndpointspada sumber dayavpc. -
Tindakan:
ec2:DescribeVpcEndpointspada sumber dayasubnet. -
Tindakan:
ec2:CreateTagspada sumber dayavpc-endpoint. -
Tindakan:
logs:PutLogEventspada sumber dayalog-group. -
Tindakan:
logs:DescribeLogStreamspada sumber dayalog-group. -
Tindakan:
logs:DescribeLogGroupspada sumber dayalog-group. -
Tindakan:
CreateLogStreampada sumber dayalog-group. -
Tindakan:
CreateLogGrouppada sumber dayalog-group.
Saat Anda membuat broker Amazon MQ for RabbitMQ, kebijakan izin AmazonMQServiceRolePolicy memungkinkan Amazon MQ melakukan tugas berikut atas nama Anda.
Membuat VPC endpoint untuk broker menggunakan Amazon VPC, subnet, dan grup keamanan yang Anda berikan. Anda dapat menggunakan titik akhir yang dibuat untuk broker agar terhubung ke broker melalui konsol manajemen RabbitMQ, API manajemen, atau secara pemrograman.
Buat grup log, dan publikasikan log broker ke Amazon CloudWatch Logs.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:DescribeVpcEndpoints" ], "Resource": "*" }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc/*", "arn:aws:ec2:*:*:subnet/*", "arn:aws:ec2:*:*:security-group/*" ] }, { "Effect": "Allow", "Action": [ "ec2:CreateVpcEndpoint" ], "Resource": [ "arn:aws:ec2:*:*:vpc-endpoint/*" ], "Condition": { "StringEquals": { "aws:RequestTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateTags" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:CreateAction": "CreateVpcEndpoint" } } }, { "Effect": "Allow", "Action": [ "ec2:DeleteVpcEndpoints" ], "Resource": "arn:aws:ec2:*:*:vpc-endpoint/*", "Condition": { "StringEquals": { "ec2:ResourceTag/AMQManaged": "true" } } }, { "Effect": "Allow", "Action": [ "logs:PutLogEvents", "logs:DescribeLogStreams", "logs:DescribeLogGroups", "logs:CreateLogStream", "logs:CreateLogGroup" ], "Resource": [ "arn:aws:logs:*:*:log-group:/aws/amazonmq/*" ] } ] }
Anda harus mengonfigurasi izin untuk mengizinkan entitas IAM (seperti pengguna, grup, atau peran) untuk membuat, mengedit, atau menghapus peran terkait layanan. Untuk informasi lebih lanjut, lihat Izin Peran yang Terhubung dengan Layanan di Panduan Pengguna IAM.
Membuat peran tertaut layanan untuk Amazon MQ
Anda tidak perlu membuat peran terkait layanan secara manual. Saat pertama kali membuat broker, Amazon MQ menciptakan peran terkait layanan untuk memanggil AWS layanan atas nama Anda. Semua broker berikutnya yang Anda buat akan menggunakan peran yang sama dan tidak ada peran baru yang dibuat.
penting
Peran tertaut layanan ini dapat muncul di akun Anda jika Anda telah menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran ini. Untuk mempelajari lebih lanjut, lihat Peran Baru yang Muncul di Akun IAM Saya.
Jika Anda menghapus peran terkait layanan ini, lalu ingin membuatnya lagi, Anda dapat menggunakan proses yang sama untuk membuat ulang peran tersebut di akun Anda.
Anda juga dapat menggunakan konsol IAM untuk membuat peran terkait layanan dengan kasus penggunaan Amazon MQ. Di AWS CLI atau AWS API, buat peran terkait layanan dengan nama mq.amazonaws.com layanan. Untuk informasi selengkapnya, lihat Membuat peran tertaut layanan dalam Panduan Pengguna IAM. Jika Anda menghapus peran tertaut layanan ini, Anda dapat mengulang proses yang sama untuk membuat peran tersebut lagi.
penting
Peran Tertaut Layanan hanya dibuat untuk Amazon MQ untuk RabbitMQ.
Mengedit peran tertaut layanan untuk Amazon MQ
Amazon MQ tidak mengizinkan Anda mengedit peran terkait layanan AWSService RoleForAmazon MQ. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi lebih lanjut, lihat Mengedit peran terkait layanan dalam Panduan Pengguna IAM.
Menghapus peran tertaut layanan untuk Amazon MQ
Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, kami menyarankan Anda menghapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.
catatan
Jika layanan Amazon MQ menggunakan peran saat Anda mencoba untuk menghapus sumber daya, maka penghapusan tersebut kemungkinan gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.
Untuk menghapus sumber daya Amazon MQ yang digunakan oleh MQ AWSService RoleForAmazon
-
Hapus broker Amazon MQ Anda menggunakan, Amazon MQ CLI AWS Management Console, atau Amazon MQ API. Untuk informasi lebih lanjut tentang penghapusan broker, lihat Deleting a broker.
Untuk menghapus peran tertaut layanan secara manual menggunakan IAM
Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSService RoleForAmazon MQ. Untuk informasi lebih lanjut, lihat Menghapus Peran Tertaut Layanan dalam Panduan Pengguna IAM.
Wilayah yang didukung untuk peran terkait layanan Amazon MQ
Amazon MQ mendukung penggunaan peran terkait layanan di semua wilayah tempat layanan tersedia. Untuk informasi lebih lanjut, lihat Wilayah dan titik akhir AWS.
| Nama wilayah | Identitas wilayah | Dukungan di Amazon MQ |
|---|---|---|
| US East (N. Virginia) | us-east-1 | Ya |
| US East (Ohio) | us-east-2 | Ya |
| US West (N. California) | us-west-1 | Ya |
| US West (Oregon) | us-west-2 | Ya |
| Asia Pacific (Mumbai) | ap-south-1 | Ya |
| Asia Pacific (Osaka) | ap-northeast-3 | Ya |
| Asia Pacific (Seoul) | ap-northeast-2 | Ya |
| Asia Pacific (Singapore) | ap-southeast-1 | Ya |
| Asia Pacific (Sydney) | ap-southeast-2 | Ya |
| Asia Pacific (Tokyo) | ap-northeast-1 | Ya |
| Canada (Central) | ca-sentral-1 | Ya |
| Eropa (Frankfurt) | eu-central-1 | Ya |
| Eropa (Irlandia) | eu-west-1 | Ya |
| Eropa (London) | eu-west-2 | Ya |
| Europe (Paris) | eu-west-3 | Ya |
| South America (SĂŁo Paulo) | sa-east-1 | Ya |
| AWS GovCloud (US) | us-gov-west-1 | Tidak |
