View a markdown version of this page

Utilizzo Service-Linked dei ruoli per AWS Config - AWS Config
Service-Linked Autorizzazioni di ruolo per AWS ConfigCreazione di Service-Linked un ruolo per AWS ConfigModifica di un Service-Linked ruolo per AWS ConfigEliminazione di un Service-Linked ruolo per AWS Config

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo Service-Linked dei ruoli per AWS Config

AWS Config utilizza ruoli collegati ai servizi AWS Identity and Access Management (IAM). Un ruolo collegato ai servizi è un tipo unico di ruolo IAM a cui è collegato direttamente. AWS Config Service-linked i ruoli sono predefiniti AWS Config e includono tutte le autorizzazioni richieste dal servizio per chiamare altri AWS servizi per tuo conto.

Un ruolo collegato al servizio semplifica la configurazione AWS Config perché non è necessario aggiungere manualmente le autorizzazioni necessarie. AWS Config definisce le autorizzazioni dei ruoli collegati ai servizi e, se non diversamente definito, solo può assumerne i ruoli. AWS Config Le autorizzazioni definite includono la policy di attendibilità e la policy delle autorizzazioni. Una policy delle autorizzazioni specifica non può essere collegata a un'altra entità IAM.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi che funzionano con IAM e cerca i servizi con nella colonna Ruolo. Service-Linked Scegliere in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato al servizio per tale servizio.

Service-Linked Autorizzazioni di ruolo per AWS Config

AWS Config utilizza il ruolo collegato al servizio denominato AwsServiceRoleForConfig: AWS Config utilizza questo ruolo collegato al servizio per chiamare altri AWS servizi per conto dell'utente. Per visualizzare gli ultimi aggiornamenti, vedere. AWS Config aggiornamenti a AWS policy gestite

Ai fini dell'assunzione del ruolo AwsServiceRoleForConfig, il ruolo collegato ai servizi config.amazonaws.comconsidera attendibile il servizio.

La politica di autorizzazione per il AwsServiceRoleForConfig ruolo contiene autorizzazioni di sola lettura e di sola scrittura per le risorse e autorizzazioni di sola lettura per AWS Config le risorse di altri servizi che supportano. AWS Config Per visualizzare la politica gestita per, vedere Politiche gestite per. AwsServiceRoleForConfigAWSAWS Config

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio è necessario configurare le relative autorizzazioni. Per ulteriori informazioni, consulta Service-Linked Role Permissions nella IAM User Guide.

Per utilizzare un ruolo collegato al servizio con AWS Config, devi configurare le autorizzazioni sul tuo bucket Amazon S3 e sull'argomento Amazon SNS. Per ulteriori informazioni, consultare Autorizzazioni richieste per il bucket Amazon S3 quando si utilizzano i ruoli Service-Linked, Autorizzazioni richieste per AWS KMS Fondamentale nell'utilizzo Service-Linked dei ruoli (S3 Bucket Delivery) e Autorizzazioni richieste per l'argomento Amazon SNS quando si utilizzano i ruoli Service-Linked.

Creazione di Service-Linked un ruolo per AWS Config

Nella CLI IAM o nell’API IAM, crea un ruolo collegato al servizio con il nome servizio config.amazonaws.com. Per ulteriori informazioni, consulta Creating a Service-Linked Role nella IAM User Guide. Se elimini il ruolo collegato ai servizi, è possibile utilizzare lo stesso processo per crearlo nuovamente.

Modifica di un Service-Linked ruolo per AWS Config

AWS Config non consente di modificare il ruolo AwsServiceRoleForConfigcollegato al servizio. Dopo avere creato un ruolo collegato al servizio, non sarà possibile modificarne il nome perché varie entità potrebbero farvi riferimento. È possibile tuttavia modificarne la descrizione utilizzando IAM. Per ulteriori informazioni, consulta Modifica di un Service-Linked ruolo nella Guida per l'utente IAM.

Eliminazione di un Service-Linked ruolo per AWS Config

Se non è più necessario utilizzare una funzionalità o un servizio che richiede un ruolo collegato al servizio, ti consigliamo di eliminare il ruolo. In questo modo non sarà più presente un'entità non utilizzata che non viene monitorata e gestita attivamente. Tuttavia, è necessario effettuare la pulizia delle risorse associate al ruolo collegato al servizio prima di poterlo eliminare manualmente.

Nota

Se il AWS Config servizio utilizza il ruolo quando si tenta di eliminare le risorse, l'eliminazione potrebbe non riuscire. In questo caso, attendi alcuni minuti e quindi ripeti l’operazione.

Per eliminare AWS Config le risorse utilizzate da AwsServiceRoleForConfig

Verificare che ConfigurationRecorders non stia utilizzano ruolo collegato ai servizi. È possibile utilizzare la AWS Config console per arrestare il registratore di configurazione. Per arrestare la registrazione, in La registrazione è attivata, scegli Disattiva.

È possibile eliminare l' AWS Config API in ConfigurationRecorder uso. Per eliminare, utilizza il comando delete-configuration-recorder.


        $ aws configservice delete-configuration-recorder --configuration-recorder-name default

Per eliminare manualmente il ruolo collegato ai servizi mediante IAM

Usa la console IAM, la CLI IAM oppure l’API IAM per eliminare il ruolo collegato al servizio AwsServiceRoleForConfig. Per ulteriori informazioni, consulta Eliminazione di un Service-Linked ruolo nella Guida per l'utente IAM.