本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用适用于 Amazon 的服务相关角色 FSx
亚马逊 FSx 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与 Amazon FSx 直接关联的独特的 IAM 角色。服务相关角色由 Amazon FSx 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置 Amazon FSx 变得更加容易,因为您不必手动添加必要的权限。亚马逊 FSx 定义其服务相关角色的权限,除非另有定义,否则只有亚马逊 FSx 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 Amazon FSx 资源,因为您不会无意中删除访问这些资源的权限。
有关支持服务相关角色的其他服务的信息,请参阅与 [IAM 配合使用的AWS 服务,](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Amazon 的服务相关角色权限 FSx
Amazon FSx 使用两个名为`AWSServiceRoleForAmazonFSx`和的服务相关角色`AWSServiceRoleForFSxS3Access_fs-01234567890`,它们在您的账户中执行某些操作。这些操作的示例包括为您的 VPC 中的文件系统创建弹性网络接口,以及访问 Amazon S3 桶中您的数据存储库。对于`AWSServiceRoleForFSxS3Access_fs-01234567890`,此服务相关角色是为您创建的每个关联到 S3 存储桶的 Amazon FSx for Lustre 文件系统创建的。
### AWSServiceRoleForAmazonFSx 权限详情
对于`AWSServiceRoleForAmazonFSx`,角色权限策略允许 Amazon FSx 代表用户在所有适用 AWS 资源上完成以下管理操作:
有关此策略的更新,请参阅 [Amazon FSx ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonFSxServiceRolePolicy)。
**注意**
AWSServiceRoleForAmazonFSx 适用于所有 Amazon FSx 文件系统类型;列出的某些权限不适用 FSx 于 Lustre。
+ `ds`— 允许 Amazon FSx 查看、授权和取消授权您 Directory Service 目录中的应用程序。
+ `ec2`— FSx 允许亚马逊执行以下操作:
+ 查看、创建和取消关联与 Amazon FSx 文件系统关联的网络接口。
+ 查看与 Amazon FSx 文件系统关联的一个或多个弹性 IP 地址。
+ 查看与亚马逊 FSx 文件系统关联的亚马逊 VPCs、安全组和子网。
+ 为带有`AmazonFSx.FileSystemId`标签的客户网络接口分配 IPv6 地址。
+ 取消分配 IPv6 带有`AmazonFSx.FileSystemId`标签的客户网络接口的地址。
+ 为可以与 VPC 配合使用的所有安全组提供增强的安全组验证。
+ 为 AWS授权用户创建在网络接口上执行某些操作的权限。
+ `cloudwatch`— 允许 Amazon 将指标数据点发布 FSx 到 AWS/FSx 命名空间 CloudWatch 下。
+ `route53`— 允许亚马逊 FSx 将 Amazon VPC 与私有托管区域相关联。
+ `logs`— 允许 Amazon FSx 描述和写入 CloudWatch 日志日志流。这样,用户就可以将 Windows 文件服务器文件系统的文件访问审核日志发送到 CloudWatch 日志流。 FSx
+ `firehose`— FSx 允许亚马逊描述和写入亚马逊数据 Firehose 传送流。这样,用户就可以将适用于 Windows 文件服务器的文件系统的文件访问审核日志发布到 Amazon Data Firehose 传输流。 FSx
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "CreateFileSystem",
"Effect": "Allow",
"Action": [
"ds:AuthorizeApplication",
"ds:GetAuthorizedApplicationDetails",
"ds:UnauthorizeApplication",
"ec2:CreateNetworkInterface",
"ec2:CreateNetworkInterfacePermission",
"ec2:DeleteNetworkInterface",
"ec2:DescribeAddresses",
"ec2:DescribeDhcpOptions",
"ec2:DescribeNetworkInterfaces",
"ec2:DescribeRouteTables",
"ec2:DescribeSecurityGroups",
"ec2:DescribeSubnets",
"ec2:DescribeVPCs",
"ec2:DisassociateAddress",
"ec2:GetSecurityGroupsForVpc",
"route53:AssociateVPCWithHostedZone"
],
"Resource": "*"
},
{
"Sid": "PutMetrics",
"Effect": "Allow",
"Action": [
"cloudwatch:PutMetricData"
],
"Resource": [
"*"
],
"Condition": {
"StringEquals": {
"cloudwatch:namespace": "AWS/FSx"
}
}
},
{
"Sid": "TagResourceNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:CreateTags"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"StringEquals": {
"ec2:CreateAction": "CreateNetworkInterface"
},
"ForAllValues:StringEquals": {
"aws:TagKeys": "AmazonFSx.FileSystemId"
}
}
},
{
"Sid": "ManageNetworkInterface",
"Effect": "Allow",
"Action": [
"ec2:AssignPrivateIpAddresses",
"ec2:ModifyNetworkInterfaceAttribute",
"ec2:UnassignPrivateIpAddresses"
],
"Resource": [
"arn:aws:ec2:*:*:network-interface/*"
],
"Condition": {
"Null": {
"aws:ResourceTag/AmazonFSx.FileSystemId": "false"
}
}
},
{
"Sid": "ManageRouteTable",
"Effect": "Allow",
"Action": [
"ec2:CreateRoute",
"ec2:ReplaceRoute",
"ec2:DeleteRoute"
],
"Resource": [
"arn:aws:ec2:*:*:route-table/*"
],
"Condition": {
"StringEquals": {
"aws:ResourceTag/AmazonFSx": "ManagedByAmazonFSx"
}
}
},
{
"Sid": "PutCloudWatchLogs",
"Effect": "Allow",
"Action": [
"logs:DescribeLogGroups",
"logs:DescribeLogStreams",
"logs:PutLogEvents"
],
"Resource": "arn:aws:logs:*:*:log-group:/aws/fsx/*"
},
{
"Sid": "ManageAuditLogs",
"Effect": "Allow",
"Action": [
"firehose:DescribeDeliveryStream",
"firehose:PutRecord",
"firehose:PutRecordBatch"
],
"Resource": "arn:aws:firehose:*:*:deliverystream/aws-fsx-*"
}
]
}
```
------
[亚马逊 FSx 更新了托 AWS 管政策](security-iam-awsmanpol.md#security-iam-awsmanpol-updates) 中介绍了本政策的所有更新。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
### AWSServiceRoleForFSxS3访问权限详情
对于`AWSServiceRoleForFSxS3Access_file-system-id`,角色权限策略允许亚马逊 FSx 在托管 Amazon for Lustre 文件系统数据存储库的 Amazon FSx S3 存储桶上完成以下操作。
+ `s3:AbortMultipartUpload`
+ `s3:DeleteObject`
+ `s3:Get*`
+ `s3:List*`
+ `s3:PutBucketNotification`
+ `s3:PutObject`
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 Amazon 创建服务相关角色 FSx
您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中创建文件系统时 AWS CLI,Amazon FSx 会为您创建服务相关角色。
**重要**
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。要了解更多信息,请参阅[我的 IAM 账户中的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建文件系统时,Amazon FSx 会再次为您创建服务相关角色。
## 编辑 Amazon 的服务相关角色 FSx
Amazon FSx 不允许您编辑这些服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Amazon 的服务相关角色 FSx
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先删除所有文件系统和备份,然后才能手动删除服务关联角色。
**注意**
如果您尝试删除资源时,Amazon FSx 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSServiceRoleForAmazonFSx 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Amazon FSx 服务相关角色支持的区域
Amazon FSx 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。