As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Funções vinculadas a serviços para AWS CloudHSM
A IAM política que você criou anteriormente Políticas gerenciadas pelo cliente para AWS CloudHSM inclui a iam:CreateServiceLinkedRole ação. AWS CloudHSM define uma função vinculada ao serviço chamada. AWSServiceRoleForCloudHSM A função é predefinida AWS CloudHSM e inclui permissões que AWS CloudHSM exigem chamar outros AWS serviços em seu nome. A função facilita a configuração de um serviço, pois você não precisa adicionar manualmente as permissões das políticas de função e de confiança.
A política de função permite AWS CloudHSM criar grupos e fluxos de log do Amazon CloudWatch Logs e gravar eventos de log em seu nome. Você pode visualizar essa política abaixo e no console do IAM.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
A política de confiança da AWSServiceRoleForCloudHSMfunção permite que você assuma AWS CloudHSM a função.
{
"Version": "2018-06-12",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
Criar uma função vinculada a serviços (automática)
AWS CloudHSM cria a AWSServiceRoleForCloudHSMfunção ao criar um cluster se você incluir a iam:CreateServiceLinkedRole ação nas permissões definidas ao criar o grupo de AWS CloudHSM administradores. Consulte Políticas gerenciadas pelo cliente para AWS CloudHSM.
Se você já tiver um ou mais clusters e quiser apenas adicionar a AWSServiceRoleForCloudHSMfunção, poderá usar o console, o comando create-cluster ou a CreateClusterAPIoperação para criar um cluster. Em seguida, use o console, o comando delete-cluster ou a DeleteClusterAPIoperação para excluí-lo. Criar outro cluster cria a função vinculada ao serviço e a aplica a todos os clusters em sua conta. Como alternativa, você pode criar a função manualmente. Consulte a seção a seguir para ter mais informações.
nota
Você não precisa executar todas as etapas descritas em Começando com AWS CloudHSM para criar um cluster se estiver apenas criando-o para adicionar a AWSServiceRoleForCloudHSMfunção.
Criar uma função vinculada a serviços (manual)
Você pode usar o IAM AWS CLI console ou API criar a AWSServiceRoleForCloudHSMfunção. Para obter mais informações, consulte Criação de uma função vinculada ao serviço no Guia do IAMusuário.
Editando a função vinculada ao serviço
AWS CloudHSM não permite que você edite a AWSServiceRoleForCloudHSMfunção. Por exemplo, depois que a função é criada, você não pode alterar o seu nome, pois várias entidades podem fazer referência à função pelo nome. Além disso, você não pode alterar a política da função. É possível, no entanto, usar o IAM para editar a descrição da função. Para obter mais informações, consulte Editando uma função vinculada ao serviço no Guia do IAM usuário.
Excluindo uma função vinculada ao serviço
Não é possível excluir uma função vinculada ao serviço enquanto ainda houver um cluster aplicado a ela. Para excluir a função, você deve primeiro excluir cada uma HSM em seu cluster e depois excluir o cluster. Todos os clusters de sua conta devem ser excluídos. Em seguida, você pode usar o IAM console ou API excluir a função. AWS CLI Para obter mais informações sobre a exclusão de um cluster, consulte Excluir um cluster do AWS CloudHSM. Para obter mais informações, consulte Excluindo uma função vinculada ao serviço no Guia do IAM usuário.
