Perfis vinculados ao serviço do CloudFront
O Amazon CloudFront usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao CloudFront. Os perfis vinculados ao serviço são predefinidos pelo CloudFront e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Eles facilitam a configuração do CloudFront porque você não precisa adicionar as permissões necessárias manualmente. O CloudFront define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente o CloudFront pode assumir os respectivos perfis. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.
Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do CloudFront, pois não é possível remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte serviços da AWS que funcionam com o IAM e procure os serviços que apresentam Sim na coluna Perfis vinculados aos serviços. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.
Permissões de perfil vinculado ao serviço para o CloudFront VPC Origins
O CloudFront VPC Origins usa um perfil vinculado ao serviço denominado AWSServiceRoleForCloudFrontVPCOrigin: esse perfil permite que o CloudFront gerencie interfaces de rede elástica do EC2 e grupos de segurança em seu nome.
O perfil vinculado ao serviço AWSServiceRoleForCloudFrontVPCOrigin confia nos seguintes serviços para aceitar o perfil:
-
vpcorigin.cloudfront.amazonaws.com
A política de permissões de perfil chamada AWSCloudFrontVPCOriginServiceRolePolicy permite que o CloudFront VPC Origins realize as seguintes ações nos recursos especificados:
-
Ação:
ec2:CreateNetworkInterfaceemarn:aws:ec2:*:*:network-interface/* -
Ação:
ec2:CreateNetworkInterfaceemarn:aws:ec2:*:*:subnet/*earn:aws:ec2:*:*:security-group/* -
Ação:
ec2:CreateSecurityGroupemarn:aws:ec2:*:*:security-group/* -
Ação:
ec2:CreateSecurityGroupemarn:aws:ec2:*:*:vpc/* -
Ação:
ec2:ModifyNetworkInterfaceAttribute,ec2:DeleteNetworkInterface,ec2:DeleteSecurityGroup,ec2:AssignIpv6Addresseseec2:UnassignIpv6Addressesemall AWS resources that the actions support -
Ação:
ec2:DescribeNetworkInterfaces,ec2:DescribeSecurityGroups,ec2:DescribeInstances,ec2:DescribeInternetGateways,ec2:DescribeSubnets,ec2:DescribeRegionseec2:DescribeAddressesemall AWS resources that the actions support -
Ação:
ec2:CreateTagsemarn:aws:ec2:*:*:security-group/*earn:aws:ec2:*:*:network-interface/* -
Ação:
elasticloadbalancing:DescribeLoadBalancers,elasticloadbalancing:DescribeListeners, eelasticloadbalancing:DescribeTargetGroupsemall AWS resources that the actions support
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.
Criar um perfil vinculado ao serviço para o CloudFront VPC Origins
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma origem de VPC no AWS Management Console, na AWS CLI ou na API da AWS, o CloudFront VPC Origins cria o perfil vinculado ao serviço para você.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria uma instância ou um cluster, o CloudFront VPC Origins cria um perfil vinculado ao serviço para você novamente.
Editar uma função vinculada ao serviço para o CloudFront VPC Origins
O CloudFront VPC Origins não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForCloudFrontVPCOrigin. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir um perfil vinculado ao serviço para o CloudFront VPC Origins
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.
nota
Se o serviço CloudFront estiver usando um perfil quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Como excluir os recursos do CloudFront VPC Origins usados por AWSServiceRoleForCloudFrontVPCOrigin
-
Exclua os recursos de origem de VPC em sua conta.
Pode levar algum tempo para que o CloudFront conclua a exclusão dos recursos da sua conta. Se você não conseguir excluir o perfil vinculado ao serviço imediatamente, aguarde e tente novamente.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForCloudFrontVPCOrigin. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.
Regiões compatíveis com perfis vinculados ao serviço do CloudFront
O CloudFront VPC Origins não permite usar perfis vinculados ao serviço em todas as regiões onde o serviço está disponível. Você pode usar a função AWSServiceRoleForCloudFrontVPCOrigin nas seguintes regiões.
| Nome da região | Identidade da região | Suporte no CloudFront |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (Norte da Califórnia) | us-west-1 (exceto AZ usw1-az2) | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Sim |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 (exceto AZ apne1-az3) | Sim |
| Canadá (Central) | ca-central-1 (exceto AZ cac1-az3) | Sim |
| Oeste do Canadá (Calgary) | ca-west-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Milão) | eu-south-1 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| Europa (Espanha) | eu-south-2 | Sim |
| Europa (Estocolmo) | eu-north-1 | Sim |
| Europa (Zurique) | eu-central-2 | Sim |
| Israel (Tel Aviv) | il-central-1 | Sim |
| Oriente Médio (Barém) | me-south-1 | Sim |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
