As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções vinculadas a serviços para Direct Connect

AWS Direct Connect usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente a. Direct Connect As funções vinculadas ao serviço são predefinidas Direct Connect e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração Direct Connect porque você não precisa adicionar manualmente as permissões necessárias. Direct Connect define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, só Direct Connect pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus Direct Connect recursos porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte Serviços da AWS compatíveis com o IAM e procure os serviços que contenham Sim na coluna Service-Linked Role. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de função vinculadas ao serviço para Direct Connect

Direct Connect usa uma função vinculada ao serviço chamada. AWSServiceRoleForDirectConnect Isso Direct Connect permite recuperar o MACSec segredo armazenado AWS Secrets Manager em seu nome.

O perfil vinculado ao serviço AWSServiceRoleForDirectConnect confia nos seguintes serviços para aceitar o perfil:

O perfil vinculado a serviço AWSServiceRoleForDirectConnect usa a política gerenciada AWSDirectConnectServiceRolePolicy.

É necessário configurar as permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) crie, edite ou exclua uma função vinculada ao serviço. Para que o perfil vinculado a serviço AWSServiceRoleForDirectConnect seja criado com êxito, a identidade do IAM com a qual você usa o Direct Connect deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "directconnect.amazonaws.com"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:GetRole",
            "Effect": "Allow",
            "Resource": "*"
       }
    ]
}

Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.

Criação de uma função vinculada ao serviço para Direct Connect

Você não precisa criar manualmente uma função vinculada ao serviço. AWS Direct Connect cria a função vinculada ao serviço para você. Quando você executa o associate-mac-sec-key comando, AWS cria uma função vinculada Direct Connect ao serviço que permite recuperar os MACsec segredos armazenados em AWS Secrets Manager seu nome na Console de gerenciamento da AWS, na ou na AWS CLI API. AWS

Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar o mesmo processo para recriar a função na sua conta. Direct Connect cria a função vinculada ao serviço para você novamente.

Você também pode usar o console do IAM para criar um perfil vinculado a serviço com o caso de uso do AWS Direct Connect. Na AWS CLI ou na AWS API, crie uma função vinculada ao serviço com o nome do directconnect.amazonaws.com serviço. Para obter mais informações, consulte Criar um perfil vinculado a serviço no Guia do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editando uma função vinculada ao serviço para Direct Connect

Direct Connect não permite que você edite a função AWSServiceRoleForDirectConnect vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para Direct Connect

Você não precisa excluir manualmente a função AWSServiceRoleForDirectConnect. Ao excluir sua função vinculada ao serviço, você deve excluir todos os recursos associados que estão armazenados no serviço AWS Secrets Manager web. A Console de gerenciamento da AWS, a AWS CLI, ou a AWS API, Direct Connect limpa os recursos e exclui a função vinculada ao serviço para você.

Também é possível usar o console do IAM para excluir o perfil vinculado a serviço. Para fazer isso, primeiro você deve limpar manualmente os recursos de seu perfil vinculado a serviço e depois excluí-lo manualmente.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForDirectConnect vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas a Direct Connect serviços

Direct Connect suporta o uso de funções vinculadas a serviços em todos os Regiões da AWS lugares em que o recurso MAC Security está disponível. Para obter mais informações, consulte Locais do AWS Direct Connect.