Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von dienstverknüpften Rollen für AWS Config

AWS Config verwendet AWS Identity and Access Management (IAM) dienstbezogene Rollen. Eine dienstbezogene Rolle ist ein einzigartiger Rollentyp, mit dem direkt verknüpft ist. IAM AWS Config Mit Diensten verknüpfte Rollen sind vordefiniert AWS Config und enthalten alle Berechtigungen, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen.

Eine dienstbezogene Rolle AWS Config erleichtert die Einrichtung, da Sie die erforderlichen Berechtigungen nicht manuell hinzufügen müssen. AWS Config definiert die Berechtigungen ihrer dienstbezogenen Rollen und AWS Config kann, sofern nicht anders definiert, nur ihre Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Informationen zu anderen Diensten, die dienstverknüpfte Rollen unterstützen, finden Sie unter AWS Dienste, die mit Diensten funktionieren, IAM und suchen Sie in der Spalte Serviceverknüpfte Rolle nach den Diensten, für die Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Berechtigungen für dienstverknüpfte Rollen für AWS Config

AWS Config verwendet die angegebene dienstverknüpfte Rolle AWSConfigServiceRolePolicy— AWS Config verwendet diese dienstverknüpfte Rolle, um andere AWS Dienste in Ihrem Namen aufzurufen.

Die serviceverknüpfte Rolle AWSConfigServiceRolePolicy vertraut dem Service config.amazonaws.com, sodass dieser die Rolle annehmen kann.

Die Berechtigungsrichtlinie für die AWSConfigServiceRolePolicy Rolle umfasst nur Lese- und Schreibberechtigungen für Ressourcen und nur Leseberechtigungen für AWS Config Ressourcen in anderen Diensten, die dies unterstützen. AWS Config Informationen zur Anzeige der verwalteten Richtlinie finden Sie unter Verwaltete Richtlinien für AWSConfigServiceRolePolicy.AWSAWS Config Weitere Informationen finden Sie unter Unterstützte Ressourcentypen für AWS Config.

Sie müssen Berechtigungen konfigurieren, damit eine IAM-Entität (z. B. Benutzer, Gruppe oder Rolle) eine serviceverknüpfte Rolle erstellen, bearbeiten oder löschen können. Weitere Informationen finden Sie unter Serviceverknüpfte Rollenberechtigung im IAM-Benutzerhandbuch.

Um eine serviceverknüpfte Rolle mit zu verwenden AWS Config, müssen Sie Berechtigungen für Ihren Amazon S3 S3-Bucket und Ihr SNS Amazon-Thema konfigurieren. Weitere Informationen finden Sie unter Erforderliche Berechtigungen für den Amazon-S3-Bucket bei Verwendung von servicegebundenen Rollen, Erforderliche Berechtigungen für den AWS KMS Schlüssel bei der Verwendung von serviceverknüpften Rollen (S3 Bucket Delivery) und Erforderliche Berechtigungen für das SNS Amazon-Thema bei der Verwendung von serviceverknüpften Rollen.

Erstellen einer serviceverknüpften Rolle für AWS Config

Erstellen Sie im IAM CLI oder im IAM API eine dienstverknüpfte Rolle mit dem config.amazonaws.com Dienstnamen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Erstellen einer dienstbezogenen Rolle. Wenn Sie diese serviceverknüpfte Rolle löschen, können Sie mit demselben Verfahren die Rolle erneut erstellen.

Bearbeiten einer serviceverknüpften Rolle für AWS Config

AWS Config erlaubt es Ihnen nicht, die AWSConfigServiceRolePolicydienstbezogene Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach dem Erstellen einer serviceverknüpften Rolle nicht mehr geändert werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer dienstbezogenen Rolle im IAMBenutzerhandbuch.

Löschen einer serviceverknüpften Rolle für AWS Config

Wenn Sie ein Feature oder einen Dienst, die bzw. der eine serviceverknüpften Rolle erfordert, nicht mehr benötigen, sollten Sie diese Rolle löschen. Auf diese Weise haben Sie keine ungenutzte juristische Stelle, die nicht aktiv überwacht oder verwaltet wird. Sie müssen jedoch die Ressourcen für Ihre serviceverknüpften Rolle zunächst bereinigen, bevor Sie sie manuell löschen können.

Um AWS Config Ressourcen zu löschen, die verwendet werden von AWSConfigServiceRolePolicy

Achten Sie darauf, dass ConfigurationRecorders nicht die serviceverknüpfte Rolle verwendet. Sie können die AWS Config Konsole verwenden, um den Konfigurationsrekorder zu beenden. Zum Beenden der Aufzeichnung wählen Sie unter Recording is on (Aufnahme ist an) die Option Turn off (Ausschalten) aus.

Sie können die ConfigurationRecorder Verwendung von löschen AWS Config API. Verwenden Sie zum Löschen den Befehl delete-configuration-recorder.

        $ aws configservice delete-configuration-recorder --configuration-recorder-name default
      

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM Konsole, die oder IAMCLI, IAM API um die mit dem AWSConfigServiceRolePolicy Dienst verknüpfte Rolle zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.