Funções vinculadas ao serviço para o AWS CloudHSM
A política do IAM que você criou anteriormente para Políticas gerenciadas pelo cliente para o AWS CloudHSM inclui a iam:CreateServiceLinkedRole ação. O AWS CloudHSM define uma função vinculada ao serviço chamada AWSServiceRoleForCloudHSM. A função é pré-definida pelo AWS CloudHSM e inclui as permissões requeridas pelo AWS CloudHSM para chamar todos os outros serviços da AWS em seu nome. A função facilita a configuração de um serviço, pois você não precisa adicionar manualmente as permissões das políticas de função e de confiança.
A política de função permite que o AWS CloudHSM crie grupos de logs e streams de logs do Amazon CloudWatch Logs e grava eventos de log em seu nome. Você pode visualizar essa política abaixo e no console do IAM.
A política de confiança para a função AWSServiceRoleForCloudHSM permite que o AWS CloudHSM assuma a função.
Criar uma função vinculada a serviços (automática)
O AWS CloudHSM criará a função AWSServiceRoleForCloudHSM ao criar um cluster se você incluir a ação iam:CreateServiceLinkedRole nas permissões definidas quando você criou o grupo de administradores do AWS CloudHSM. Consulte Políticas gerenciadas pelo cliente para o AWS CloudHSM.
Se já tem um ou mais clusters e deseja apenas adicionar a função AWSServiceRoleForCloudHSM, é possível usar o console, o comando create-cluster ou a operação de API CreateCluster para criar um cluster. Em seguida, use o console, o comando delete-cluster ou a operação de API DeleteCluster para excluí-la. Criar outro cluster cria a função vinculada ao serviço e a aplica a todos os clusters em sua conta. Como alternativa, você pode criar a função manualmente. Para obter mais informações, consulte a seção a seguir.
nota
Não será necessário executar todas as etapas descritas em Conceitos básicos do AWS CloudHSM para criar um cluster se você o estiver criando apenas para adicionar a função AWSServiceRoleForCloudHSM.
Criar uma função vinculada a serviços (manual)
É possível usar o console do IAM, a AWS CLI , ou a API para criar a função AWSServiceRoleForCloudHSM. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Guia do usuário do IAM.
Edição da função vinculada ao serviço
O AWS CloudHSM não permite editar a função AWSServiceRoleForCloudHSM. Por exemplo, depois que a função é criada, você não pode alterar o seu nome, pois várias entidades podem fazer referência à função pelo nome. Além disso, você não pode alterar a política da função. É possível, no entanto, usar o IAM para editar a descrição da função. Para obter mais informações, consulte Editar uma função vinculada ao serviço no Guia do usuário do IAM.
Excluindo uma função vinculada ao serviço
Não é possível excluir uma função vinculada ao serviço enquanto ainda houver um cluster aplicado a ela. Para excluir a função, você deve primeiro excluir cada HSM do cluster e, em seguida, excluir o cluster. Todos os clusters de sua conta devem ser excluídos. Você pode usar o console da IAM, a AWS CLI ou a API para excluir a função. Para obter mais informações sobre a exclusão de um cluster, consulte Excluir um cluster do AWS CloudHSM. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
