Usar perfis vinculados ao serviço para VPC
A Amazon VPC usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente à VPC. Os perfis vinculados ao serviço são predefinidos pela VPC e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.
Um perfil vinculado ao serviço facilita a configuração da VPC, já que não é preciso adicionar as permissões necessárias manualmente. A VPC define as permissões de seus perfis vinculados ao serviço e, exceto se definido de outra forma, somente a VPC pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos da VPC, pois você não pode remover por engano as permissões para acessar os recursos.
Para obter informações sobre outros serviços que são compatíveis com perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure por serviços que indiquem Sim na coluna Perfis vinculados ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.
Permissões de perfil vinculado ao serviço para a VPC
A VPC usa o perfil vinculado ao serviço chamado AWSServiceRoleForNATGateway. Esse perfil vinculado ao serviço permite que a Amazon VPC aloque endereços IP elásticos em seu nome para escalar automaticamente os gateways NAT regionais, associar e desassociar seus IPs elásticos existentes aos gateways NAT regionais conforme sua solicitação e descrever interfaces de rede para identificar sua infraestrutura existente a fim de se expandir automaticamente para novas zonas de disponibilidade.
O perfil vinculado ao serviço AWSServiceRoleForNATGateway confia nos seguintes serviços para assumir a função:
-
ec2-nat-gateway.amazonaws.com
A política de permissões de perfil chamada AWSNATGatewayServiceRolePolicy permite que a VPC conclua as seguintes ações nos recursos especificados:
-
Ação:
AllocateAddressem EIPs gerenciados pelo serviço para alocar EIPs em seu nome. Os EIPs gerenciados pelo serviço tratam automaticamente da marcação subsequente com as tags gerenciadas pelo serviço e o ReleaseAddress. -
Ação:
AssociateAddressem seus endereços IP elásticos preexistentes para associá-los manualmente ao seu gateway NAT regional, conforme sua solicitação. -
Ação:
DisassociateAddressem seus endereços IP elásticos preexistentes para removê-los do Gateway NAT regional, conforme sua solicitação. -
Ação:
DescribeAddressespara obter informações de endereço IP público de EIPs fornecidos pelo cliente no associado. -
Ação:
DescribeNetworkInterfaceem suas interfaces de rede existentes para identificar automaticamente as zonas de disponibilidade em que sua infraestrutura reside para escalar automaticamente para novas zonas.
Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte Permissões do perfil vinculado a serviço no Guia do usuário do IAM.
Criar um perfil vinculado ao serviço para a VPC
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um Gateway NAT com um modo de disponibilidade “regional” no AWS Management Console, na AWS CLI ou na AWS, a VPC cria o perfil vinculado ao serviço para você.
Importante
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o serviço da VPC antes de 1º de janeiro de 2017, quando ele começou a oferecer suporte a perfis vinculados ao serviço, a VPC criou o perfil AWSServiceRoleForNATGateway na sua conta. Para saber mais, consulte Um novo perfil apareceu na minha Conta da AWS.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um Gateway NAT com um modo de disponibilidade “regional”, a VPC cria o perfil vinculado ao serviço para você de novo.
Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso AWSServiceRoleForNATGateway. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço ec2-nat-gateway.amazonaws.com. Para obter mais informações, consulte Criar uma função vinculada ao serviço no Manual do usuário do IAM. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.
Editar um perfil vinculado ao serviço para a VPC
A VPC não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForNATGateway. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte Editar um perfil vinculado ao serviço no Guia do usuário do IAM.
Excluir um perfil vinculado ao serviço para a VPC
Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.
nota
Se o serviço da VPC estiver usando o perfil quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.
Para excluir os recursos da VPC utilizados por AWSServiceRoleForNATGateway
-
Exclua todos os gateways NAT regionais em todas as regiões nas quais eles foram implantados.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForNATGateway. Para saber mais, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões suportadas para perfis vinculados ao serviço da VPC
A VPC oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte Regiões e endpoints da AWS.
A VPC não oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. É possível usar o perfil AWSServiceRoleForNATGateway nas regiões a seguir.
| Nome da região | Identidade da região | Suporte na VPC |
|---|---|---|
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim |
| Leste dos EUA (Ohio) | us-east-2 | Sim |
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim |
| Oeste dos EUA (Oregon) | us-west-2 | Sim |
| África (Cidade do Cabo) | af-south-1 | Sim |
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim |
| Ásia-Pacífico (Taipei) | ap-east-2 | Sim |
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim |
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim |
| Ásia-Pacífico (Hyderabad) | ap-south-2 | Sim |
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim |
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim |
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim |
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim |
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim |
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | Sim |
| Ásia-Pacífico (Malásia) | ap-southeast-5 | Sim |
| Ásia-Pacífico (Nova Zelândia) | ap-southeast-6 | Sim |
| Ásia-Pacífico (Tailândia) | ap-southeast-7 | Sim |
| Canadá (Central) | ca-central-1 | Sim |
| Oeste do Canadá (Calgary) | ca-west-1 | Sim |
| Europa (Frankfurt) | eu-central-1 | Sim |
| Europa (Zurique) | eu-central-2 | Sim |
| Europa (Irlanda) | eu-west-1 | Sim |
| Europa (Londres) | eu-west-2 | Sim |
| Europa (Milão) | eu-south-1 | Sim |
| Europa (Espanha) | eu-south-2 | Sim |
| Europa (Paris) | eu-west-3 | Sim |
| Europa (Estocolmo) | eu-north-1 | Sim |
| Israel (Tel Aviv) | il-central-1 | Sim |
| Oriente Médio (Barém) | me-south-1 | Sim |
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Sim |
| Oriente Médio (Arábia Saudita) | me-west-1 | Sim |
| México (Central) | mx-central-1 | Sim |
| América do Sul (São Paulo) | sa-east-1 | Sim |
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não |
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |
