View a markdown version of this page

Usando funções vinculadas a serviços para VPN Site-to-Site - AWS Site-to-Site VPN
Service-linked permissões de função para Site-to-Site VPNCrie uma função vinculada ao serviço para VPN Site-to-SiteEditar uma função vinculada ao serviço para VPN Site-to-SiteExcluir uma função vinculada ao serviço para VPN Site-to-Site

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para VPN Site-to-Site

AWS Site-to-Site A VPN usa AWS Identity and Access Management funções vinculadas ao serviço (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente à Site-to-Site VPN. Service-linked as funções são predefinidas pela Site-to-Site VPN e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração da Site-to-Site VPN porque você não precisa adicionar manualmente as permissões necessárias. Site-to-Site A VPN define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente a Site-to-Site VPN pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Um perfil vinculado ao serviço poderá ser excluído somente após excluir seus atributos relacionados. Isso protege seus recursos de Site-to-Site VPN porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Service-linked permissões de função para Site-to-Site VPN

Site-to-Site A VPN usa a função vinculada ao serviço chamada AWSServiceRoleForVPCS2SVPN— Permitir que a Site-to-Site VPN crie e gerencie recursos relacionados às suas conexões VPN.

A função AWSServiceRoleForVPCS2SVPN vinculada ao serviço confia no seguinte serviço para assumir a função:

  • s2svpn.amazonaws.com

Essa função vinculada ao serviço usa a política gerenciada AWSVPCS2SVpnServiceRolePolicy para concluir as seguintes ações nos recursos especificados:

  • Ao usar a autenticação de certificado para sua conexão VPN, AWS Site-to-Site VPN exporta os AWS Certificate Manager certificados do túnel VPN para uso nos endpoints do túnel VPN.

  • Ao usar a autenticação de certificado para sua conexão VPN, AWS Site-to-Site VPN gerencia a renovação dos AWS Certificate Manager certificados do túnel VPN.

  • Ao usar o armazenamento de chaves SecretsManager pré-compartilhadas para sua conexão VPN, AWS Site-to-Site VPN gerencia o segredo gerenciado AWS Secrets Manager s2svpn da conexão VPN.

Para visualizar as permissões para esta política, consulte AWSVPCS2SVpnServiceRolePolicy na Referência de políticas gerenciadas pela AWS .

Crie uma função vinculada ao serviço para VPN Site-to-Site

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria um gateway de cliente com um certificado privado do ACM associado na Console de gerenciamento da AWS, na ou na AWS API AWS CLI, a Site-to-Site VPN cria a função vinculada ao serviço para você.

Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você cria um gateway de cliente com um certificado privado do ACM associado, a Site-to-Site VPN cria a função vinculada ao serviço para você novamente.

Editar uma função vinculada ao serviço para VPN Site-to-Site

Site-to-Site A VPN não permite que você edite a função AWSServiceRoleForVPCS2SVPN vinculada ao serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma descrição de perfil vinculado ao serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para VPN Site-to-Site

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço de Site-to-Site VPN estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir recursos de Site-to-Site VPN usados pelo AWSServiceRoleForVPCS2SVPN

Você pode excluir essa função vinculada ao serviço somente depois de excluir todos os gateways do cliente que tenham um certificado privado do ACM associado. Isso garante que você não possa remover inadvertidamente a permissão para acessar seus certificados ACM em uso por conexões VPN. Site-to-Site

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForVPCS2SVPN vinculada ao serviço. Para obter mais informações, consulte Excluir uma função vinculada ao serviço no Guia do usuário do IAM.