Verwendung von serviceverknüpften IAM-Rollen für DAX - Amazon-DynamoDB
Berechtigungen von serviceverknüpften Rollen für DAXErstellen einer serviceverknüpften Rolle für DAXBearbeiten einer serviceverknüpften Rolle für DAXLöschen einer serviceverknüpften Rolle für DAX

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwendung von serviceverknüpften IAM-Rollen für DAX

Amazon DynamoDB Accelerator (DAX) verwendet AWS Identity and Access Management (IAM) servicezuknüpfte Rollen. Eine serviceverknüpfte Rolle ist ein spezieller Typ einer IAM-Rolle, die direkt mit DAX verknüpft ist. Serviceverknüpfte Rollen werden von DAX vordefiniert und schließen alle Berechtigungen ein, die der Service zum Aufrufen anderer AWS-Services in Ihrem Namen erfordert.

Eine serviceverknüpfte Rolle vereinfacht das Einrichten von DAX, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. DAX definiert die Berechtigungen seiner serviceverknüpften Rollen. Sofern keine andere Konfiguration festgelegt wurde, kann nur DAX die Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann an keine andere IAM-Entität angefügt werden.

Sie können die Rollen nur nach dem Löschen der zugehörigen Ressourcen löschen. Dies schützt Ihre DAX-Ressourcen, da Sie nicht versehentlich die Berechtigung für den Zugriff auf die Ressourcen entfernen können.

Informationen zu anderen Services, die serviceverlinkte Rollen unterstützen, finden Sie unter AWS-Services, die mit IAM funktionieren im IAM-Benutzerhandbuch. Suchen Sie nach den Services, für die Ja in der Spalte Serviceverknüpfte Rollen angegeben ist. Wählen Sie den Link Ja, um die Dokumentation zu serviceverknüpften Rollen für diesen Service anzuzeigen.

Berechtigungen von serviceverknüpften Rollen für DAX

DAX verwendet die serviceverknüpfte Rolle namens AWSServiceRoleForDAX. Diese Rolle ermöglicht es DAX, Services im Namen Ihres DAX-Clusters aufzurufen.

Wichtig

Mit der serviceverknüpften Rolle AWSServiceRoleForDAX ist es einfacher für Sie, einen DAX-Cluster einzurichten und zu verwalten. Sie müssen jedoch weiterhin jedem Cluster Zugriff auf DynamoDB gewähren, bevor Sie ihn verwenden können. Weitere Informationen finden Sie unter DAXZugriffskontrolle.

Die serviceverknüpfte Rolle AWSServiceRoleForDAX vertraut darauf, dass die folgenden Services die Rolle annehmen:

  • dax.amazonaws.com

Mit der Rollenberechtigungsrichtlinie kann DAX die folgenden Aktionen für die angegebenen Ressourcen ausführen:

  • Aktionen auf ec2:

    • AuthorizeSecurityGroupIngress

    • CreateNetworkInterface

    • CreateSecurityGroup

    • DeleteNetworkInterface

    • DeleteSecurityGroup

    • DescribeAvailabilityZones

    • DescribeNetworkInterfaces

    • DescribeSecurityGroups

    • DescribeSubnets

    • DescribeVpcs

    • ModifyNetworkInterfaceAttribute

    • RevokeSecurityGroupIngress

Sie müssen Berechtigungen konfigurieren, damit eine juristische Stelle von IAM (z. B. Benutzer, Gruppe oder Rolle) eine servicegebundene Rolle erstellen, bearbeiten oder löschen kann. Weitere Informationen finden Sie unter servicegebundene Rollenberechtigungen im IAM-Benutzerhandbuch.

So erlauben Sie einer IAM-Entität das Erstellen von serviceverknüpften Rollen namens AWSServiceRoleForDAX

Fügen Sie den Berechtigungen für diese IAM-Entität die folgende Richtlinienanweisung hinzu.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole"
    ],
    "Resource": "*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "dax.amazonaws.com"}}
}

Erstellen einer serviceverknüpften Rolle für DAX

Sie müssen eine servicegebundene Rolle nicht manuell erstellen. Wenn Sie einen Cluster erstellen, erstellt DAX die dienstverknüpfte Rolle für Sie.

Wichtig

Wenn Sie den DAX-Service vor dem 28. Februar 2018 verwendet haben, als er mit der Unterstützung servicebezogener Rollen begann, hat DAX die AWSServiceRoleForDAX-Rolle in Ihrem Konto erstellt. Weitere Informationen finden Sie unter Eine neue Rolle erschien in meinem AWS-Konto im IAM-Benutzerhandbuch.

Wenn Sie diese serviceverknüpfte Rolle löschen und dann erneut erstellen müssen, können Sie die Rolle in Ihrem Konto mit demselben Verfahren neu anlegen. DAX erstellt die serviceverknüpfte Rolle erneut für Sie, wenn Sie eine Instance oder einen Cluster erstellen.

Bearbeiten einer serviceverknüpften Rolle für DAX

DAX verhindert die Bearbeitung der AWSServiceRoleForDAX serviceverknüpften Rolle. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer servicegebundenen Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für DAX

Wenn Sie eine Funktion oder einen Service, die bzw. der eine servicegebundene Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch alle Ihre DAX-Cluster löschen, bevor Sie die serviceverknüpfte Rolle löschen können.

Bereinigen einer serviceverknüpften Rolle

Bevor Sie mit IAM eine serviceverknüpfte Rolle löschen können, müssen Sie sich zunächst vergewissern, dass die Rolle über keine aktiven Sitzungen verfügt, und alle Ressourcen entfernen, die von der Rolle verwendet werden.

So überprüfen Sie in der IAM-Konsole, ob die serviceverknüpfte Rolle über eine aktive Sitzung verfügt

  1. Melden Sie sich bei der AWS Management Console an, und öffnen Sie die IAM-Konsole unter https://console.aws.amazon.com/iam/.

  2. Wählen Sie im Navigationsbereich der IAM Console Rollen aus. Wählen Sie dann den Namen (nicht das Kontrollkästchen) der Rolle AWSServiceRoleForDAX aus.

  3. Wählen Sie auf der Seite Summary für die ausgewählte Rolle die Registerkarte Access Advisor.

  4. Überprüfen Sie auf der Registerkarte Access Advisor die jüngsten Aktivitäten für die serviceverknüpfte Rolle.

    Anmerkung

    Wenn Sie sich nicht sicher sind, ob DAX die Rolle AWSServiceRoleForDAX verwendet, können Sie versuchen, die Rolle zu löschen. Wenn der Service die Rolle verwendet, schlägt der Löschvorgang fehl und Sie können die Regionen anzeigen, in denen die Rolle verwendet wird. Wenn die Rolle verwendet wird, müssen Sie Ihre DAX-Cluster löschen, bevor Sie die Rolle löschen können. Die Sitzung für eine serviceverknüpfte Rolle können Sie nicht widerrufen.

Wenn Sie die Rolle AWSServiceRoleForDAX entfernen wollen, müssen Sie zunächst alle DAX-Cluster löschen.

Löschen Ihrer kompletten DAX-Cluster

Verwenden Sie eine dieser Verfahren, um alle Ihre DAX-Cluster zu löschen.

So löschen Sie einen DAX-Cluster (Konsole)

  1. Öffnen Sie die DynamoDB-Konsole unter https://console.aws.amazon.com/dynamodb/.

  2. Klicken Sie im Navigationsbereich unter DAX auf Cluster.

  3. Wählen Sie Aktionen und anschließend Löschen aus.

  4. Wählen Sie im Dialogfeld Löschbestätigung für den Cluster) die Option Löschen aus.

So löschen Sie einen DAX-Cluster (AWS CLI)

Sehen Sie Cluster löschen in der AWS CLI-Befehlsreferenz.

So löschen Sie einen DAX-Cluster (API)

Sehen Sie Cluster löschen in der Amazon-DynamoDB-API-Referenz.

Löschen der serviceverknüpften Rolle

So löschen Sie die servicegebundene Rolle mit IAM

Sie können die IAM-Konsole, die IAM-CLI oder die IAM-API verwenden, um die AWSServiceRoleForDAX-serviceverknüpfte Rolle zu löschen. Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.