# Usar perfis vinculados ao serviço para VPC
<a name="using-service-linked-roles"></a>

A Amazon VPC usa [perfis vinculados ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) do AWS Identity and Access Management (IAM). O perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente à VPC. Os perfis vinculados ao serviço são predefinidos pela VPC e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome. 

Um perfil vinculado ao serviço facilita a configuração da VPC, já que não é preciso adicionar as permissões necessárias manualmente. A VPC define as permissões de seus perfis vinculados ao serviço e, exceto se definido de outra forma, somente a VPC pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos da VPC, pois você não pode remover por engano as permissões para acessar os recursos.

Para obter informações sobre outros serviços que são compatíveis com perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure por serviços que indiquem **Sim** na coluna **Perfis vinculados ao serviço**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado a esse serviço.

## Permissões de perfil vinculado ao serviço para a VPC
<a name="slr-permissions"></a>

A VPC usa o perfil vinculado ao serviço chamado **AWSServiceRoleForNATGateway**. Esse perfil vinculado ao serviço permite que a Amazon VPC aloque endereços IP elásticos em seu nome para escalar automaticamente os gateways NAT regionais, associar e desassociar seus IPs elásticos existentes aos gateways NAT regionais conforme sua solicitação e descrever interfaces de rede para identificar sua infraestrutura existente a fim de se expandir automaticamente para novas zonas de disponibilidade.

O perfil vinculado ao serviço AWSServiceRoleForNATGateway confia nos seguintes serviços para assumir a função:
+ `ec2-nat-gateway.amazonaws.com`

A política de permissões de perfil chamada AWSNATGatewayServiceRolePolicy permite que a VPC conclua as seguintes ações nos recursos especificados:
+ Ação: `AllocateAddress` em EIPs gerenciados pelo serviço para alocar EIPs em seu nome. Os EIPs gerenciados pelo serviço tratam automaticamente da marcação subsequente com as tags gerenciadas pelo serviço e o ReleaseAddress.
+ Ação: `AssociateAddress` em seus endereços IP elásticos preexistentes para associá-los manualmente ao seu gateway NAT regional, conforme sua solicitação.
+ Ação: `DisassociateAddress` em seus endereços IP elásticos preexistentes para removê-los do Gateway NAT regional, conforme sua solicitação.
+ Ação: `DescribeAddresses` para obter informações de endereço IP público de EIPs fornecidos pelo cliente no associado.
+ Ação: `DescribeNetworkInterface` em suas interfaces de rede existentes para identificar automaticamente as zonas de disponibilidade em que sua infraestrutura reside para escalar automaticamente para novas zonas.

Você deve configurar permissões para permitir que seus usuários, grupos ou perfis criem, editem ou excluam um perfil vinculado ao serviço. Para obter mais informações, consulte [Permissões do perfil vinculado a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do usuário do IAM*.

## Criar um perfil vinculado ao serviço para a VPC
<a name="create-slr"></a>

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um Gateway NAT com um modo de disponibilidade “regional” no Console de gerenciamento da AWS, na AWS CLI ou na AWS, a VPC cria o perfil vinculado ao serviço para você. 

**Importante**  
Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o serviço da VPC antes de 1º de janeiro de 2017, quando ele começou a oferecer suporte a perfis vinculados ao serviço, a VPC criou o perfil AWSServiceRoleForNATGateway na sua conta. Para saber mais, consulte [Um novo perfil apareceu na minha Conta da AWS](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um Gateway NAT com um modo de disponibilidade “regional”, a VPC cria o perfil vinculado ao serviço para você de novo. 

Também é possível usar o console do IAM para criar um perfil vinculado ao serviço com o caso de uso **AWSServiceRoleForNATGateway**. Na AWS CLI ou na API do AWS, crie um perfil vinculado a serviço com o nome de serviço `ec2-nat-gateway.amazonaws.com`. Para obter mais informações, consulte [Criar uma função vinculada ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role) no *Manual do usuário do IAM*. Se você excluir essa função vinculada ao serviço, será possível usar esse mesmo processo para criar a função novamente.

## Editar um perfil vinculado ao serviço para a VPC
<a name="edit-slr"></a>

A VPC não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForNATGateway. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.

## Excluir um perfil vinculado ao serviço para a VPC
<a name="delete-slr"></a>

Se você não precisar mais usar um atributo ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de sua função vinculada ao serviço antes de exclui-la manualmente.

**nota**  
Se o serviço da VPC estiver usando o perfil quando você tenta excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

**Para excluir os recursos da VPC utilizados por AWSServiceRoleForNATGateway**
+ Exclua todos os gateways NAT regionais em todas as regiões nas quais eles foram implantados.

**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**

Use o console do IAM, a AWS CLI ou a API da AWS para excluir o perfil vinculado ao serviço AWSServiceRoleForNATGateway. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.

## Regiões suportadas para perfis vinculados ao serviço da VPC
<a name="slr-regions"></a>

A VPC oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. Para obter mais informações, consulte [Regiões e endpoints da AWS](https://docs.aws.amazon.com/general/latest/gr/rande.html).

A VPC não oferece suporte ao uso de perfis vinculados ao serviço em todas as regiões em que o serviço está disponível. É possível usar o perfil AWSServiceRoleForNATGateway nas regiões a seguir.


| Nome da região | Identidade da região | Suporte na VPC | 
| --- | --- | --- | 
| Leste dos EUA (Norte da Virgínia) | us-east-1 | Sim | 
| Leste dos EUA (Ohio) | us-east-2 | Sim | 
| Oeste dos EUA (N. da Califórnia) | us-west-1 | Sim | 
| Oeste dos EUA (Oregon) | us-west-2 | Sim | 
| África (Cidade do Cabo) | af-south-1 | Sim | 
| Ásia-Pacífico (Hong Kong) | ap-east-1 | Sim | 
| Ásia-Pacífico (Taipei) | ap-east-2 | Sim | 
| Ásia-Pacífico (Jacarta) | ap-southeast-3 | Sim | 
| Ásia-Pacífico (Mumbai) | ap-south-1 | Sim | 
| Ásia-Pacífico (Hyderabad) | ap-south-2 | Sim | 
| Ásia Pacifico (Osaka) | ap-northeast-3 | Sim | 
| Ásia-Pacífico (Seul) | ap-northeast-2 | Sim | 
| Ásia-Pacífico (Singapura) | ap-southeast-1 | Sim | 
| Ásia-Pacífico (Sydney) | ap-southeast-2 | Sim | 
| Ásia-Pacífico (Tóquio) | ap-northeast-1 | Sim | 
| Ásia-Pacífico (Melbourne) | ap-southeast-4 | Sim | 
| Ásia-Pacífico (Malásia) | ap-southeast-5 | Sim | 
| Ásia-Pacífico (Nova Zelândia) | ap-southeast-6 | Sim | 
| Ásia-Pacífico (Tailândia) | ap-southeast-7 | Sim | 
| Canadá (Central) | ca-central-1 | Sim | 
| Oeste do Canadá (Calgary) | ca-west-1 | Sim | 
| Europa (Frankfurt) | eu-central-1 | Sim | 
| Europa (Zurique) | eu-central-2 | Sim | 
| Europa (Irlanda) | eu-west-1 | Sim | 
| Europa (Londres) | eu-west-2 | Sim | 
| Europa (Milão) | eu-south-1 | Sim | 
| Europa (Espanha) | eu-south-2 | Sim | 
| Europa (Paris) | eu-west-3 | Sim | 
| Europa (Estocolmo) | eu-north-1 | Sim | 
| Israel (Tel Aviv) | il-central-1 | Sim | 
| Oriente Médio (Barém) | me-south-1 | Sim | 
| Oriente Médio (Emirados Árabes Unidos) | me-central-1 | Sim | 
| Oriente Médio (Arábia Saudita) | me-west-1 | Sim | 
| México (Central) | mx-central-1 | Sim | 
| América do Sul (São Paulo) | sa-east-1 | Sim | 
| AWS GovCloud (Leste dos EUA) | us-gov-east-1 | Não | 
| AWS GovCloud (Oeste dos EUA) | us-gov-west-1 | Não |