View a markdown version of this page

Memahami peran terkait layanan - Amazon DocumentDB
Service-linked izin peranMembuat peran tertaut layananMemodifikasi peran terkait layananMenghapus peran tertaut layananWilayah yang didukung untuk peran terkait layanan Amazon DocumentDB

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Memahami peran terkait layanan

Amazon DocumentDB (dengan kompatibilitas MongoDB) menggunakan peran terkait layanan (IAM). AWS Identity and Access Management Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke Amazon DocumentDB. Service-linked peran telah ditentukan sebelumnya oleh Amazon DocumentDB dan mencakup semua izin yang diperlukan layanan untuk AWS memanggil layanan lain atas nama Anda.

Peran tertaut layanan membuat penggunaan Amazon DocumentDB lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Amazon DocumentDB menentukan izin peran tertaut layanannya, dan kecuali ditentukan lain, hanya Amazon DocumentDB yang dapat menjalankan perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran hanya setelah terlebih dahulu menghapus sumber daya terkaitnya. Ini melindungi sumber daya Amazon DocumentDB karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS Layanan yang Bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Service-Linked Peran. Pilih Ya dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Izin peran terkait layanan Amazon DocumentDB

Amazon DocumentDB (dengan kompatibilitas MongoDB) menggunakan peran terkait layanan bernama AWSServiceRoleForRDSuntuk memungkinkan Amazon DocumentDB memanggil layanan atas nama kluster Anda. AWS

Peran AWSServiceRoleForRDS terkait layanan mempercayai layanan berikut untuk mengambil peran:

  • docdb.amazonaws.com

Kebijakan izin peran mengizinkan Amazon DocumentDB untuk menyelesaikan tindakan berikut ini pada sumber daya yang ditentukan:

  • Tindakan pada ec2:

    • AssignPrivateIpAddresses

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeInternetGateways

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcAttribute

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

    • UnassignPrivateIpAddresses

  • Tindakan pada sns:

    • ListTopic

    • Publish

  • Tindakan pada cloudwatch:

    • PutMetricData

    • GetMetricData

    • CreateLogStream

    • PullLogEvents

    • DescribeLogStreams

    • CreateLogGroup

catatan

Anda harus mengonfigurasi izin agar entitas IAM (seperti pengguna, grup, atau peran) dapat membuat, mengedit, atau menghapus peran terkait layanan. Anda mungkin menemukan pesan kesalahan berikut ini:

Tidak dapat membuat sumber daya. Verifikasi bahwa Anda memiliki izin untuk membuat peran terkait layanan. Jika tidak, tunggu dan coba lagi nanti.

Jika Anda melihat kesalahan ini, pastikan Anda mengaktifkan izin berikut ini:

{
    "Action": "iam:CreateServiceLinkedRole",
    "Effect": "Allow",
    "Resource": "arn:aws:iam::*:role/aws-service-role/rds.amazonaws.com/AWSServiceRoleForRDS",
    "Condition": {
        "StringLike": {
            "iam:AWSServiceName":"rds.amazonaws.com"
        }
    }
}

Untuk informasi selengkapnya, lihat Izin Service-Linked Peran di Panduan Pengguna IAM.

Membuat peran terkait layanan Amazon DocumentDB

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat klaster, Amazon DocumentDB membuat peran tertaut layanan untuk Anda.

Jika Anda menghapus peran tertaut layanan ini dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat klaster, Amazon DocumentDB membuat peran tertaut layanan untuk Anda.

Memodifikasi peran terkait layanan Amazon DocumentDB

Amazon DocumentDB tidak mengizinkan Anda memodifikasi AWSServiceRoleForRDS peran terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun demikian, Anda dapat memodifikasi penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit Service-Linked Peran di Panduan Pengguna IAM.

Menghapus peran terkait layanan Amazon DocumentDB

Jika Anda tidak lagi perlu menggunakan fitur atau layanan yang memerlukan peran tertaut layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak perlu lagi memantau atau memelihara entitas yang tidak digunakan. Namun demikian, Anda harus menghapus semua klaster Anda sebelum Anda dapat menghapus peran tertaut layanan.

Membersihkan peran terkait layanan Amazon DocumentDB

Sebelum dapat menggunakan IAM untuk menghapus peran tertaut layanan, Anda harus mengonfirmasi terlebih dahulu bahwa peran tersebut tidak memiliki sesi aktif dan menghapus sumber daya yang digunakan oleh peran tersebut.

Untuk memeriksa apakah peran tertaut layanan memiliki sesi aktif menggunakan konsol

  1. Masuk ke Konsol Manajemen AWS dan buka konsol IAM dihttps://console.aws.amazon.com/iam/.

  2. Di panel navigasi konsol IAM, pilih Peran, lalu pilih nama (bukan kotak centang) peran. AWSServiceRoleForRDS

  3. Di halaman Ringkasan untuk peran yang dipilih, pilih tab Penasihat Akses.

  4. Di tab Penasihat Akses, ‍tinjau aktivitas terbaru untuk peran tertaut layanan.

    catatan

    Jika Anda tidak yakin apakah Amazon DocumentDB AWSServiceRoleForRDS menggunakan peran tersebut, Anda dapat mencoba menghapus peran tersebut. Jika layanan ini menggunakan peran tersebut, peran tidak dapat dihapus dan Anda dapat melihat Wilayah tempat peran tersebut digunakan. Jika peran tersebut sedang digunakan, Anda harus menunggu hingga sesi ini berakhir sebelum dapat menghapus peran tersebut. Anda tidak dapat mencabut sesi untuk peran terkait layanan.

Jika Anda ingin menghapus AWSServiceRoleForRDS peran, Anda harus terlebih dahulu menghapus semua instance dan cluster Anda. Untuk informasi tentang menghapus instans dan klaster, lihat topik berikut ini:

Wilayah yang didukung untuk peran terkait layanan Amazon DocumentDB

Amazon DocumentDB mendukung menggunakan peran tertaut layanan di semua Wilayah tempat layanan tersedia. Lihat informasi yang lebih lengkap di https://docs.aws.amazon.com/documentdb/latest/devguide/regions-and-azs.html#regions-and-azs-availability.