As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Uso de funções vinculadas ao serviço para o Amazon EFS

O Amazon Elastic File System usa uma função vinculada ao serviço AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao Amazon EFS. A função predefinida vinculada ao serviço do Amazon EFS inclui as permissões que o serviço exige para ligar para outras pessoas Serviços da AWS em seu nome.

Uma função vinculada ao serviço facilita a configuração do Amazon EFS porque você não precisa adicionar as permissões necessárias manualmente. O Amazon EFS define as permissões das funções vinculadas ao serviço e somente o Amazon EFS pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política de permissões não pode ser anexada a nenhuma outra entidade do IAM.

Só será possível excluir a função vinculada ao serviço do Amazon EFS depois de excluir os sistemas de arquivos do Amazon EFS. Isso protege seus recursos do Amazon EFS, pois você não pode remover por engano as permissões para acessar os recursos.

A função vinculada ao serviço permite que todas as chamadas de API sejam visíveis por meio de. AWS CloudTrail Isso ajuda com os requisitos de monitoramento e auditoria porque você pode rastrear todas as ações que o Amazon EFS executa em seu nome. Para obter mais informações, consulte Entradas de log de perfis vinculados ao serviço do EFS.

Para obter mais informações, consulte Service-linked role permissions (Permissões de nível vinculado a serviços) no Guia do usuário do IAM.

Permissões de funções vinculadas ao serviço para o Amazon EFS

O Amazon EFS usa a função vinculada ao serviço chamada AWSServiceRoleForAmazonElasticFileSystempara permitir que o Amazon EFS chame e gerencie AWS recursos em nome dos seus sistemas de arquivos EFS.

A função AWSService RoleForAmazonElasticFileSystem vinculada ao serviço confia na elasticfilesystem.amazonaws.com para assumir a função.

A política de permissões da função permite que o Amazon EFS conclua as ações incluídas no JSON de definição da política:

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "backup-storage:MountCapsule",
                "ec2:CreateNetworkInterface",
                "ec2:DeleteNetworkInterface",
                "ec2:DescribeSecurityGroups",
                "ec2:DescribeSubnets",
                "ec2:DescribeNetworkInterfaceAttribute",
                "ec2:ModifyNetworkInterfaceAttribute",
                "tag:GetResources"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "kms:DescribeKey"
            ],
            "Resource": "arn:aws:kms:*:*:key/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupVault",
                "backup:PutBackupVaultAccessPolicy"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-vault:aws/efs/automatic-backup-vault"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "backup:CreateBackupPlan",
                "backup:CreateBackupSelection"
            ],
            "Resource": [
                "arn:aws:backup:*:*:backup-plan:*"
            ]
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:CreateServiceLinkedRole"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": [
                        "backup.amazonaws.com"
                    ]
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "iam:PassRole"
            ],
            "Resource": [
                "arn:aws:iam::*:role/aws-service-role/backup.amazonaws.com/AWSServiceRoleForBackup"
            ],
            "Condition": {
                "StringLike": {
                    "iam:PassedToService": "backup.amazonaws.com"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "elasticfilesystem:DescribeFileSystems",
                "elasticfilesystem:CreateReplicationConfiguration",
                "elasticfilesystem:DescribeReplicationConfigurations",
                "elasticfilesystem:DeleteReplicationConfiguration",
                "elasticfilesystem:ReplicationRead",
                "elasticfilesystem:ReplicationWrite"
            ],
            "Resource": "*"
        }
    ]
}

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para ter mais informações, consulte Permissões de função vinculada a serviços no Guia do usuário do IAM.

Criação de uma função vinculada ao serviço para o Amazon EFS

Na maioria dos casos, você não precisa criar manualmente uma função vinculada ao serviço. Quando você cria destinos de montagem ou uma configuração de replicação para seu sistema de arquivos EFS na AWS Management Console, na ou na AWS API AWS CLI, o Amazon EFS cria a função vinculada ao serviço para você.

Além disso, se você excluir isso service-linked-role manualmente e precisar criá-lo novamente, poderá usar o mesmo processo para recriar a função em sua conta. Quando você cria destinos de montagem ou uma configuração de replicação para seu sistema de arquivos EFS, o Amazon EFS cria a função vinculada ao serviço para você.

No entanto, se o Amazon EFS não criar o service-linked-role ou se você tiver começado a usar o Amazon EFS antes de oferecer suporte a funções vinculadas ao serviço, você poderá criar manualmente a função vinculada ao serviço. Para obter instruções, consulte Como criar uma função vinculada ao serviço no Guia do usuário do IAM.

Edição de uma função vinculada ao serviço do Amazon EFS

O Amazon EFS não permite que você edite a função vinculada ao serviço AWSServiceRoleForAmazonElasticFileSystem. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para ter mais informações, consulte Atualizar um perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço do Amazon EFS

Se você não precisar mais usar um atributo ou serviço que exija uma função vinculada a um serviço, recomendamos que você exclua essa função. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente. Para obter mais informações, consulte Limpar recursos e proteger sua conta da AWS.

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForAmazonElasticFileSystem vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas a serviços do Amazon EFS

O Amazon EFS oferece suporte ao uso de funções vinculadas a serviços em todos os lugares em Regiões da AWS que o serviço está disponível. Para obter mais informações, consulte os endpoints de AWS serviço no Guia do Referência geral da AWS usuário.