Utilizzo di ruoli collegati ai servizi per Amazon Route 53 Resolver - Amazon Route 53
Autorizzazioni di ruolo collegate ai servizi per VPC ResolverCreazione di un ruolo collegato ai servizi per VPC ResolverModifica di un ruolo collegato ai servizi per VPC ResolverEliminazione di un ruolo collegato ai servizi per VPC ResolverRegioni supportate per i ruoli collegati al servizio VPC Resolver

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Amazon Route 53 Resolver

Route 53 VPC Resolver utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente a VPC Resolver. I ruoli collegati ai servizi sono predefiniti da VPC Resolver e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato al servizio semplifica la configurazione di VPC Resolver perché non è necessario aggiungere manualmente le autorizzazioni necessarie. VPC Resolver definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo VPC Resolver può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. In questo modo proteggi le tue risorse VPC Resolver perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta Servizi AWS che funzionano con IAM e cerca i servizi che riportano nella colonna Ruolo associato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni di ruolo collegate ai servizi per VPC Resolver

VPC Resolver utilizza il ruolo AWSServiceRoleForRoute53Resolvercollegato al servizio per fornire i log delle query per tuo conto.

La politica di autorizzazione dei ruoli consente a VPC Resolver di completare le seguenti azioni sulle tue risorse:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups",
        "s3:GetBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Autorizzazioni del ruolo collegato ai servizi nella Guida per l'utente di IAM.

Creazione di un ruolo collegato ai servizi per VPC Resolver

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un'associazione di configurazione del registro di interrogazione del resolver nella console Amazon Route 53 o nell' AWS API AWS CLI, VPC Resolver crea automaticamente il ruolo collegato al servizio.

Importante

Questo ruolo collegato al servizio può apparire nell'account, se è stata completata un'operazione in un altro servizio che utilizza le caratteristiche supportate da questo ruolo. Inoltre, se utilizzavi il servizio VPC Resolver prima del 12 agosto 2020, quando ha iniziato a supportare i ruoli collegati al servizio, VPC Resolver ha creato il ruolo nel tuo account. AWSServiceRoleForRoute53Resolver Per ulteriori informazioni, consulta Un nuovo ruolo è apparso nel mio account IAM.

Se elimini questo ruolo collegato al servizio, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell’account. Quando crei una nuova associazione di configurazione del log di query del resolver, il ruolo collegato ai servizi AWSServiceRoleForRoute53Resolver viene creato nuovamente per tuo conto.

Modifica di un ruolo collegato ai servizi per VPC Resolver

VPC Resolver non consente di modificare il ruolo collegato al servizio. AWSServiceRoleForRoute53Resolver Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta la sezione Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per VPC Resolver

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Nota

Se il servizio VPC Resolver utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

Per eliminare le risorse VPC Resolver utilizzate da AWSServiceRoleForRoute53Resolver

  1. Accedi Console di gestione AWS e apri la console Route 53 all'indirizzo. https://console.aws.amazon.com/route53/

  2. Espandi il menu della console Route 53. Nell'angolo in alto a sinistra della console, scegli l'icona con le tre barre orizzontali ( Menu icon ).

  3. Nel menu Resolver, scegli Registrazione delle query.

  4. Seleziona la casella di controllo accanto al nome della configurazione di registrazione delle query, quindi scegli Elimina.

  5. Nella casella di testo Elimina configurazione di registrazione delle query seleziona Interrompi registrazione delle query.

    Questa operazione dissocerà la configurazione dal VPC. Puoi dissociare la configurazione della registrazione delle query anche a livello di programmazione. Per ulteriori informazioni, consulta disassociate-resolver-query-log-config.

  6. Dopo che la registrazione delle query è stata interrotta, se lo desideri puoi digitare delete nel campo e scegliere Elimina per eliminare la configurazione di registrazione delle query. Tuttavia, ciò non è necessario per eliminare le risorse utilizzate da AWSServiceRoleForRoute53Resolver.

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Utilizza la console IAM AWS CLI, o l' AWS API per eliminare il ruolo collegato al AWSServiceRoleForRoute53Resolver servizio. Per ulteriori informazioni, consulta Eliminazione del ruolo collegato al servizio nella Guida per l’utente di IAM.

Regioni supportate per i ruoli collegati al servizio VPC Resolver

VPC Resolver non supporta l'utilizzo di ruoli collegati al servizio in tutte le regioni in cui il servizio è disponibile. Il ruolo AWSServiceRoleForRoute53Resolver può essere utilizzato nelle regioni seguenti.

Nome della Regione Identità della Regione Support in VPC Resolver
Stati Uniti orientali (Virginia settentrionale) us-east-1
Stati Uniti orientali (Ohio) us-east-2
Stati Uniti occidentali (California settentrionale) us-west-1
Stati Uniti occidentali (Oregon) us-west-2
Asia Pacifico (Mumbai) ap-south-1
Asia Pacifico (Osaka) ap-northeast-3
Asia Pacifico (Seoul) ap-northeast-2
Asia Pacifico (Singapore) ap-southeast-1
Asia Pacifico (Sydney) ap-southeast-2
Asia Pacifico (Tokyo) ap-northeast-1
Canada (Centrale) ca-central-1
Europa (Francoforte) eu-central-1
Europa (Irlanda) eu-west-1
Europa (Londra) eu-west-2
Europa (Parigi) eu-west-3
Sud America (San Paolo) sa-east-1
Cina (Pechino) cn-north-1
China (Ningxia) cn-northwest-1
AWS GovCloud (US) us-gov-east-1
AWS GovCloud (US) us-gov-west-1