Usar perfis vinculados ao serviço no Aurora DSQL
O Aurora DSQL usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM diretamente vinculado ao Aurora DSQL. Os perfis vinculados ao serviço são predefinidos pelo Aurora DSQL e incluem todas as permissões exigidas para chamar Serviços da AWS em nome do cluster do Aurora DSQL.
Os perfis vinculados ao serviço facilitam a configuração do Aurora DSQL porque você não precisa adicionar manualmente as permissões necessárias para usar o Aurora DSQL. Quando você cria um cluster, o Aurora DSQL cria um perfil vinculado ao serviço para você. Você pode excluir o perfil vinculado ao serviço somente depois de excluir todos os seus clusters. Isso protege os recursos do Aurora DSQL porque não é possível remover inadvertidamente as permissões necessárias para acessar os recursos.
Para obter informações sobre outros produtos que são compatíveis com as funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contêm Yes (Sim) na coluna Service-Linked Role (Função vinculada a serviço). Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.
Os perfis vinculados ao serviço estão disponíveis em todas as regiões compatíveis do Aurora DSQL.
Permissões de perfis vinculados ao serviço para o Aurora DSQL
O Aurora DSQL usa o perfil vinculado ao serviço denominado AWSServiceRoleForAuroraDsql, que permite que o Amazon Aurora DSQL crie e gerencie recursos da AWS em seu nome. Esse perfil vinculado ao serviço é anexado à seguinte política gerenciada: AuroraDsqlServiceLinkedRolePolicy.
nota
Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Você pode se deparar com a seguinte mensagem de erro: You don't have the permissions to create an Amazon Aurora DSQL service-linked role. Se essa mensagem for exibida, verifique se você tem as seguintes permissões habilitadas:
{ "Sid" : "CreateDsqlServiceLinkedRole", "Effect" : "Allow", "Action" : "iam:CreateServiceLinkedRole", "Resource" : "*", "Condition" : { "StringEquals" : { "iam:AWSServiceName" : "dsql.amazonaws.com" } } }
Para ter mais informações, consulte Permissões de perfis vinculados ao serviço.
Criar um perfil vinculado ao serviço
Você não precisa criar manualmente o perfil vinculado ao serviço AuroraDSQLServiceLinkedRolePolicy. O Aurora DSQL cria o perfil vinculado ao serviço para você. Se o perfil vinculado ao serviço AuroraDSQLServiceLinkedRolePolicy tiver sido excluída da conta, o Aurora DSQL criará o perfil quando você iniciar um novo cluster do Aurora DSQL.
Editar um perfil vinculado ao serviço
O Aurora DSQL não permite que você edite o perfil vinculado ao serviço AuroraDSQLServiceLinkedRolePolicy. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você pode editar a descrição da função usando o console do IAM, a AWS Command Line Interface (AWS CLI), ou a API do IAM.
Excluir um perfil vinculado ao serviço
Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não terá uma entidade não utilizada que não seja ativamente monitorada ou mantida.
Para que você possa excluir um perfil vinculado ao serviço referente a uma conta, será necessário desligar e excluir todos os clusters da conta.
Também é possível usar o console do IAM, a AWS CLI ou a API do IAM para excluir uma função vinculada ao serviço. Para ter mais informações, consulte Criar um perfil vinculado ao serviço no “Guia do usuário do IAM”.
Regiões compatíveis com perfis vinculados ao serviço do Aurora DSQL
O Aurora DSQL permite usar perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.
