Usar perfis vinculados ao serviço da Site-to-Site VPN

O AWS Site-to-Site VPN usa perfis vinculados ao serviço do AWS Identity and Access Management (IAM). Um perfil vinculado ao serviço é um tipo exclusivo de perfil do IAM vinculado diretamente à Site-to-Site VPN. Os perfis vinculados ao serviço são predefinidos pela Site-to-Site VPN e incluem todas as permissões que o serviço requer para chamar outros serviços da AWS em seu nome.

Um perfil vinculado ao serviço facilita a configuração da Site-to-Site VPN porque você não precisa adicionar as permissões necessárias manualmente. A Site-to-Site VPN define as permissões dos perfis vinculados ao serviço e, exceto se definido de outra forma, somente a Site-to-Site VPN pode assumir seus perfis. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos da Site-to-Site VPN, pois você não pode remover por engano as permissões para acessar os recursos.

Permissões do perfil vinculado ao serviço da Site-to-Site VPN

A Site-to-Site VPN usa o perfil vinculado ao serviço chamado AWSServiceRoleForVPCS2SVPN: permite que a Site-to-Site VPN crie e gerencie recursos relacionados às suas conexões VPN.

O perfil vinculado ao serviço AWSServiceRoleForVPCS2SVPN confia no seguinte serviço para assumir o perfil:

O perfil vinculado ao serviço usa a política gerenciada AWSVPCS2SVpnServiceRolePolicy para concluir as seguintes ações nos recursos especificados:

Para visualizar as permissões para essa política, consulte AWSVPCS2SVpnServiceRolePolicy na Referência de políticas gerenciadas pela AWS.

Criar um perfil vinculado ao serviço para o Site-to-Site VPN

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um gateway do cliente com um certificado privado do ACM no Console de gerenciamento da AWS, na AWS CLI ou na AWS API, a Site-to-Site VPN cria o perfil vinculado ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um gateway do cliente com um certificado privado do ACM, a Site-to-Site VPN cria o perfil vinculado ao serviço para você novamente.

Editar um perfil vinculado ao serviço para o Site-to-Site VPN

A Site-to-Site VPN não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForVPCS2SVPN. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma descrição de perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço para o Site-to-Site VPN

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

Para excluir os recursos da Site-to-Site VPN usados pelo AWSServiceRoleForVPCS2SVPN

É possível excluir essa função vinculada ao serviço somente depois de excluir todos os gateways do cliente que tenham um certificado privado do ACM associado. Isso garante que você não possa remover inadvertidamente a permissão para acessar seus certificados do ACM em uso por conexões da Site-to-Site VPN.

Como excluir manualmente a função vinculada ao serviço usando o IAM

Use o console do IAM, a AWS CLI ou a AWS API para excluir o perfil vinculado ao serviço AWSServiceRoleForVPCS2SVPN. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.