本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将服务相关角色用于 Directory Service
AWS Directory Service 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Directory Service Service-linked 角色由预定义 Directory Service ,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置变得 Directory Service 更加容易,因为您不必手动添加必要的权限。 Directory Service 定义其服务相关角色的权限,除非另有定义,否则 Directory Service 只能担任其角色。定义的权限包括信任策略和权限策略,这些策略不能附加到任何其他 IAM 实体。
只有在首先删除服务相关角色的相关资源后,才能删除该角色。这样可以防止您因为无法无意中移除访问 Directory Service 资源的权限而失去对资源的访问权限。
有关支持服务关联角色的其他服务的信息,请参阅与 IAM 配合使用的AWS 服务。
主题
Service-linked 的角色权限 Directory Service
Directory Service 使用名为的服务相关角色 AWSServiceRoleForDirectoryService— AWS 允许监控客户的自行管理的域控制器。
AWSServiceRoleForDirectoryService 服务相关角色信任以下服务代入该角色:
-
ds.amazonaws.com
名为的角色权限策略 AWSDirectoryServiceServiceRolePolicy Directory Service 允许对指定资源完成以下操作。有关完整的策略权限,请参阅《AWS 托管策略参考》AWSDirectoryServiceServiceRolePolicy中的。
-
ec2:允许该服务描述网络资源,例如 VPC、子网、安全组和网络接口,以验证混合连接配置:-
ec2:DescribeAvailabilityZones -
ec2:DescribeDhcpOptions -
ec2:DescribeNetworkInterfaces -
ec2:DescribeRouteTables -
ec2:DescribeSecurityGroups -
ec2:DescribeSubnets -
ec2:DescribeVpcs
-
-
ssm— 允许该服务向本地域控制器发送和监控 PowerShell guilabel 以进行监控和评估:-
ssm:Sendguilabel -
ssm:Listguilabels -
ssm:GetguilabelInvocation -
ssm:DescribeInstanceInformation -
ssm:GetConnectionStatus
-
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅 IAM 用户指南中的Service-linked 角色权限。
为 创建服务相关角色 Directory Service
您无需手动创建服务关联角色。如果您 AWS 允许在 AWS 管理控制台、或 AWS API 中监控客户的自行管理的域控制器 AWS CLI,则 Directory Service 会为您创建服务相关角色。有关该更改的更多信息,请参阅策略更新。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。另外,如果您在 2017 年 1 月 1 日 Directory Service 服务开始支持服务相关角色之前使用该服务,则在您的账户中 Directory Service 创建了该AWSServiceRoleForDirectoryService角色。要了解更多信息,请参阅 “我的” 中出现了一个新角色 AWS 账户。
为 编辑服务相关角色 Directory Service
Directory Service 不允许您编辑AWSServiceRoleForDirectoryService服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务关联角色。
删除 的服务相关角色 Directory Service
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
注意
如果您尝试删除资源时 Directory Service 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 Directory Service 使用的资源 AWSServiceRoleForDirectoryService
-
要删除目录,请参阅正在删除你的 AWS 微软 AD 托管。
使用 IAM 手动删除服务关联角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除AWSServiceRoleForDirectoryService服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务关联角色。
支持的区域 Directory Service 服务关联角色
Directory Service 不支持在提供服务的每个区域中使用服务相关角色。但是,仅在您可以选择加入混合目录 AWS 区域 的地方 Directory Service 使用该AWSServiceRoleForDirectoryService角色。
| 区域名称 | 区域标识 | 选择加入支持 |
|---|---|---|
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 中东(巴林) | me-south-1 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 亚太地区(雅加达) | ap-southeast-3 | 是 |
| 非洲(开普敦) | af-south-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 中东(阿联酋): | me-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| 亚太地区(香港) | ap-east-1 | 是 |
| 亚太地区(海得拉巴) | ap-south-2 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 亚太地区(墨尔本) | ap-southeast-4 | 是 |
| 欧洲地区(米兰) | eu-south-1 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲(西班牙) | eu-south-2 | 是 |
| 欧洲(苏黎世) | eu-central-2 | 是 |
