Utilizzo di ruoli collegati ai servizi per la VPN Site-to-Site - AWS Site-to-Site VPN
Autorizzazioni di ruolo legate al servizio per la VPN Site-to-SiteCrea un ruolo collegato ai servizi per la VPN Site-to-SiteModifica un ruolo collegato al servizio per VPN Site-to-SiteElimina un ruolo collegato al servizio per VPN Site-to-Site

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per la VPN Site-to-Site

AWS Site-to-Site La VPN utilizza ruoli AWS Identity and Access Management collegati ai servizi (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM collegato direttamente alla VPN. Site-to-Site I ruoli collegati ai servizi sono predefiniti dalla Site-to-Site VPN e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS

Un ruolo collegato al servizio semplifica la configurazione della Site-to-Site VPN perché non è necessario aggiungere manualmente le autorizzazioni necessarie. Site-to-Site La VPN definisce le autorizzazioni dei suoi ruoli collegati ai servizi e, se non diversamente definito, solo la Site-to-Site VPN può assumerne i ruoli. Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni che non può essere allegata a nessun'altra entità IAM.

È possibile eliminare un ruolo collegato ai servizi solo dopo aver eliminato le risorse correlate. Questo protegge le tue risorse Site-to-Site VPN perché non puoi rimuovere inavvertitamente l'autorizzazione ad accedere alle risorse.

Autorizzazioni di ruolo legate al servizio per la VPN Site-to-Site

Site-to-Site La VPN utilizza il ruolo collegato al servizio denominato AWSServiceRoleForVPCS2SVPN: consenti alla Site-to-Site VPN di creare e gestire risorse relative alle tue connessioni VPN.

Il ruolo collegato al servizio AWSService RoleFor VPCS2 SVPN prevede che il seguente servizio assuma il ruolo:

  • s2svpn.amazonaws.com

Questo ruolo collegato al servizio utilizza la politica gestita AWSVPCS2 SVpn ServiceRolePolicy per completare le seguenti azioni sulle risorse specificate:

  • Quando si utilizza l'autenticazione tramite certificato per la connessione VPN, AWS Site-to-Site VPN esporta i AWS Certificate Manager certificati del tunnel VPN da utilizzare sugli endpoint del tunnel VPN.

  • Quando si utilizza l'autenticazione tramite certificato per la connessione VPN, AWS Site-to-Site VPN gestisce il rinnovo dei AWS Certificate Manager certificati del tunnel VPN.

  • Quando si utilizza l'archiviazione di chiavi SecretsManager precondivise per la connessione VPN, AWS Site-to-Site VPN gestisce il segreto gestito da AWS Secrets Manager s2svpn della connessione VPN.

Per vedere le autorizzazioni per questa policy, consulta AWSVPCS2SVpnServiceRolePolicy nella Guida di riferimento sulle policy gestite da AWS .

Crea un ruolo collegato ai servizi per la VPN Site-to-Site

Non hai bisogno di creare manualmente un ruolo collegato ai servizi. Quando crei un gateway per i clienti con un certificato privato ACM associato nell' AWS API AWS Management Console AWS CLI, la Site-to-Site VPN crea automaticamente il ruolo collegato al servizio.

Se elimini questo ruolo collegato ai servizi, è possibile ricrearlo seguendo lo stesso processo utilizzato per ricreare il ruolo nell'account. Quando crei un customer gateway con un certificato privato ACM associato, la Site-to-Site VPN crea nuovamente il ruolo collegato al servizio per te.

Modifica un ruolo collegato al servizio per VPN Site-to-Site

Site-to-Site La VPN non consente di modificare il ruolo collegato al servizio AWSService RoleFor VPCS2 SVPN. Dopo aver creato un ruolo collegato al servizio, non potrai modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modificare la descrizione di un ruolo collegato al servizio nella Guida per l'utente IAM.

Elimina un ruolo collegato al servizio per VPN Site-to-Site

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Nota

Se il servizio Site-to-Site VPN utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l'operazione.

Per eliminare le risorse Site-to-Site VPN utilizzate dall' AWSServiceRoleForVPCS2SVPN

Puoi eliminare questo ruolo collegato ai servizi solo dopo aver eliminato tutti i gateway del cliente che dispongono di un certificato privato ACM associato. In questo modo non è possibile rimuovere inavvertitamente l'autorizzazione ad accedere ai certificati ACM utilizzati dalle connessioni VPN. Site-to-Site

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Utilizza la console IAM AWS CLI, l'o l' AWS API per eliminare il ruolo collegato al servizio AWSService RoleFor VPCS2 SVPN. Per ulteriori informazioni, consulta Eliminare un ruolo collegato al servizio nella Guida per l'utente IAM.