Menggunakan peran terkait layanan untuk VPN Site-to-Site - AWS Site-to-Site VPN

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk VPN Site-to-Site

AWS Site-to-Site VPN menggunakan peran AWS Identity and Access Management terkait layanan (IAM). Peran terkait layanan adalah jenis peran IAM unik yang ditautkan langsung ke VPN. Site-to-Site Peran terkait layanan telah ditentukan sebelumnya oleh Site-to-Site VPN dan mencakup semua izin yang diperlukan layanan untuk memanggil AWS layanan lain atas nama Anda.

Peran terkait layanan membuat pengaturan Site-to-Site VPN lebih mudah karena Anda tidak perlu menambahkan izin yang diperlukan secara manual. Site-to-Site VPN mendefinisikan izin dari peran terkait layanannya, dan kecuali ditentukan lain, hanya Site-to-Site VPN yang dapat mengambil perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, dan kebijakan izin tersebut tidak dapat dilampirkan ke entitas IAM lainnya.

Anda dapat menghapus peran tertaut layanan hanya setelah menghapus sumber daya terkait terlebih dahulu. Ini melindungi sumber daya Site-to-Site VPN Anda karena Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sumber daya.

Izin peran terkait layanan untuk VPN Site-to-Site

Site-to-Site VPN menggunakan peran terkait layanan bernama AWSServiceRoleForVPCS2SVPN — Izinkan Site-to-Site VPN membuat dan mengelola sumber daya yang terkait dengan koneksi VPN Anda.

Peran terkait layanan AWSService RoleFor VPCS2 SVPN mempercayai layanan berikut untuk mengambil peran:

  • s2svpn.amazonaws.com

Peran terkait layanan ini menggunakan kebijakan terkelola AWSVPCS2 SVpn ServiceRolePolicy untuk menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Saat menggunakan otentikasi sertifikat untuk koneksi VPN Anda, AWS Site-to-Site VPN ekspor AWS Certificate Manager sertifikat terowongan VPN untuk digunakan pada titik akhir terowongan VPN.

  • Saat menggunakan otentikasi sertifikat untuk koneksi VPN Anda, AWS Site-to-Site VPN kelola pembaruan sertifikat terowongan AWS Certificate Manager VPN.

  • Saat menggunakan penyimpanan kunci yang SecretsManager telah dibagikan sebelumnya untuk koneksi VPN Anda, AWS Site-to-Site VPN kelola rahasia terkelola AWS Secrets Manager s2svpn koneksi VPN.

Untuk melihat izin kebijakan ini, lihat AWSVPCS2SVpnServiceRolePolicydi Referensi Kebijakan AWS Terkelola.

Buat peran terkait layanan untuk VPN Site-to-Site

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda membuat gateway pelanggan dengan sertifikat pribadi ACM terkait di, API AWS Management Console AWS CLI, atau AWS API, Site-to-Site VPN membuat peran terkait layanan untuk Anda.

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda membuat gateway pelanggan dengan sertifikat pribadi ACM terkait, Site-to-Site VPN membuat peran terkait layanan untuk Anda lagi.

Mengedit peran terkait layanan untuk VPN Site-to-Site

Site-to-Site VPN tidak memungkinkan Anda untuk mengedit peran terkait layanan AWSService RoleFor VPCS2 SVPN. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin merujuk peran tersebut. Namun, Anda dapat mengedit penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit deskripsi peran terkait layanan di Panduan Pengguna IAM.

Menghapus peran terkait layanan untuk VPN Site-to-Site

Jika Anda tidak perlu lagi menggunakan fitur atau layanan yang memerlukan peran terkait layanan, sebaiknya hapus peran tersebut. Dengan begitu, Anda tidak memiliki entitas yang tidak digunakan yang tidak dipantau atau dipelihara secara aktif. Tetapi, Anda harus membersihkan sumber daya peran yang terhubung dengan layanan sebelum menghapusnya secara manual.

catatan

Jika layanan Site-to-Site VPN menggunakan peran saat Anda mencoba menghapus sumber daya, maka penghapusan mungkin gagal. Jika hal itu terjadi, tunggu beberapa menit dan coba mengoperasikannya lagi.

Untuk menghapus sumber daya Site-to-Site VPN yang digunakan oleh AWSService RoleFor VPCS2 SVPN

Anda dapat menghapus peran tertaut layanan ini hanya setelah Anda menghapus semua gateway pelanggan yang memiliki sertifikat privat ACM terkait. Ini memastikan bahwa Anda tidak dapat secara tidak sengaja menghapus izin untuk mengakses sertifikat ACM Anda yang digunakan oleh koneksi VPN. Site-to-Site

Untuk menghapus peran tertaut layanan secara manual menggunakan IAM

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran terkait layanan AWSService RoleFor VPCS2 SVPN. Untuk informasi selengkapnya, lihat Menghapus peran terkait layanan di Panduan Pengguna IAM.