Funções vinculadas ao serviço para o Direct Connect

O AWS Direct Connect utiliza perfis vinculados a serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Direct Connect. Os perfis vinculados a serviços são predefinidos pelo Direct Connect e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Uma perfil vinculada ao serviço facilita a configuração do Direct Connect porque você não precisa adicionar as permissões necessárias manualmente. Direct Connect define as permissões de seus perfis vinculados ao serviço e, a menos que definido de outra forma, somente Direct Connect pode assumir suas perfis. As permissões definidas incluem a política de confiança e a política de permissões. Essa política não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos do Direct Connect, pois você não pode remover por engano as permissões de acesso aos recursos.

Para obter informações sobre outros serviços compatíveis com perfis vinculados a serviços, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que têm Sim na coluna Perfil vinculado ao serviço. Escolha Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço do Direct Connect

O Direct Connect usa o perfil vinculada a serviço chamado AWSServiceRoleForDirectConnect. Isso permite que o Direct Connect recupere os segredos MACsec armazenados no AWS Secrets Manager em seu nome.

O perfil vinculado ao serviço AWSServiceRoleForDirectConnect confia nos seguintes serviços para aceitar o perfil:

A função vinculada ao serviço AWSServiceRoleForDirectConnect usa a política gerenciada AWSDirectConnectServiceRolePolicy.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para que o perfil vinculado a serviço AWSServiceRoleForDirectConnect seja criado com êxito, a identidade do IAM com a qual você usa o Direct Connect deve ter as permissões necessárias. Para conceder as permissões necessárias, anexe a política a seguir à identidade do IAM.

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "directconnect.amazonaws.com"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:GetRole",
            "Effect": "Allow",
            "Resource": "*"
       }
    ]
}

Para ter mais informações, consulte Permissões de função vinculada a serviços no Guia do usuário do IAM.

Criação de uma função vinculada ao serviço para o Direct Connect

Não é necessário criar manualmente um perfil vinculado a serviço. O AWS Direct Connect criará o perfil vinculado a serviço adequado para você. Quando você executar o comando associate-mac-sec-key, a AWS criará um perfil vinculado a serviço que permite que o Direct Connect recupere os segredos MACsec armazenados em seu nome no AWS Secrets Manager usando o Console de gerenciamento da AWS, a AWS CLI ou a AWS API.

Se você excluir esse perfil vinculado a serviço e precisar criá-lo novamente, será possível aplicar o mesmo processo para recriar o perfil em sua conta. O Direct Connect criará o perfil vinculado a serviço novamente.

Você também pode usar o console do IAM para criar um perfil vinculado a serviço com o caso de uso do AWS Direct Connect. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço directconnect.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

Editar um perfil vinculado ao serviço para o Direct Connect

O Direct Connect não permite que você edite a função vinculada ao serviço AWSServiceRoleForDirectConnect. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço para o Direct Connect

Você não precisa excluir manualmente a função AWSServiceRoleForDirectConnect. Ao excluir seu perfil vinculado a serviço, você deve excluir todos os recursos associados que estão armazenados no serviço Web do AWS Secrets Manager. No Console de gerenciamento da AWS, na AWS CLI ou na AWS API, o Direct Connect limpa os recursos e exclui o perfil vinculado a serviço para você.

Também é possível usar o console do IAM para excluir o perfil vinculado a serviço. Para fazer isso, primeiro você deve limpar manualmente os recursos de seu perfil vinculado a serviço e depois excluí-lo manualmente.

Para excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a API da AWS para excluir a função vinculada ao serviço AWSServiceRoleForDirectConnect. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões compatíveis com funções vinculadas ao serviço do Direct Connect

O Direct Connect é compatível com perfis vinculados a serviço em todas as Regiões da AWS nas quais o recurso MAC Security esteja disponível. Para obter mais informações, consulte Locais do AWS Direct Connect.