As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usar funções vinculadas a serviço para o Amazon Lightsail
O Amazon Lightsail usa funções vinculadas ao serviço do AWS Identity and Access Management (IAM). O perfil vinculado a serviço é um tipo exclusivo de perfil do IAM vinculado diretamente ao Amazon Lightsail. As funções vinculadas a serviços são predefinidas pelo Amazon Lightsail e incluem todas as permissões que o Lightsail requer para chamar outros serviços da AWS em seu nome.
Uma função vinculada ao serviço facilita a configuração do Amazon Lightsail, já que você não precisa adicionar as permissões necessárias manualmente. O Amazon Lightsail define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Amazon Lightsail pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Uma função vinculada ao serviço poderá ser excluída somente após excluir seus recursos relacionados. Isso protege seus recursos do Amazon Lightsail, pois você não pode remover por engano as permissões de acesso aos recursos.
Para obter informações sobre outros serviços que oferecem suporte aos perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure os serviços com Sim na coluna Perfil vinculado ao serviço. Escolha um Sim com um link para exibir a documentação da função vinculada a serviço desse serviço.
Permissões de função vinculada ao serviço no Amazon Lightsail
O Amazon Lightsail usa o perfil vinculado ao serviço chamado AWSServiceRoleForLightsail: perfil para exportar snapshots do disco de instância e de armazenamento em bloco do Lightsail para o Amazon Elastic Compute Cloud (Amazon EC2) e para obter o perfil atual do Bloqueio de Acesso Público no nível da conta do Amazon Simple Storage Service (Amazon S3).
O perfil vinculado ao serviço AWSServiceRoleForWordLightsail confia nos seguintes serviços para assumir o perfil:
-
lightsail.amazonaws.com
A política de permissões da função permite que o Amazon Lightsail conclua as seguintes ações nos recursos especificados:
-
Ação:
ec2:CopySnapshotem todos os recursos da AWS. -
Ação:
ec2:DescribeSnapshotsem todos os recursos da AWS. -
Ação:
ec2:CopyImageem todos os recursos da AWS. -
Ação:
ec2:DescribeImagesem todos os recursos da AWS. -
Ação:
cloudformation:DescribeStacksem todas as pilhas do AWS AWS CloudFormation. -
Ação:
s3:GetAccountPublicAccessBlockem todos os recursos da AWS.
Permissões de perfil vinculado ao serviço
Você deve configurar permissões para permitir que uma entidade do IAM (como um usuário, grupo ou perfil) crie ou edite a descrição de um perfil vinculado ao serviço.
Para permitir que uma entidade do IAM; crie uma função vinculada ao serviço
Adicione a seguinte política à entidade do IAM que precisa criar a função vinculada ao serviço.
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*", "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" } ] }
Para permitir que uma entidade do IAM crie qualquer função vinculada ao serviço
Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa criar uma função vinculada ao serviço ou qualquer função de serviço que inclua as políticas necessárias. Esta política anexa uma política à função.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir que uma entidade do IAM edite a descrição de todas as funções de serviço
Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa editar uma descrição de uma função vinculada ao serviço ou qualquer função de serviço.
{ "Effect": "Allow", "Action": "iam:UpdateRoleDescription", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir que uma entidade do IAM exclua uma função vinculada ao serviço específica
Adicione a seguinte instrução à política de permissões para a entidade do IAM que precisa excluir a função vinculada ao serviço.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*" }
Para permitir que uma entidade do IAM exclua qualquer função de serviço
Adicione a seguinte instrução à política de permissões da entidade do IAM; que precisa excluir um perfil vinculado ao serviço ou qualquer perfil de serviço.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Como alternativa, você pode usar uma política gerenciada da AWS para fornecer acesso completo ao serviço.
Como criar uma função vinculada ao serviço no Amazon Lightsail
Não é necessário criar manualmente uma função vinculada ao serviço. Quando você exporta seu snapshot de disco de armazenamento em bloco ou de instância do Lightsail para o Amazon EC2 ou cria ou atualiza um bucket do Lightsail no AWS Management Console da AWS, na AWS CLI ou na API da AWS, o Amazon Lightsail cria o perfil vinculado ao serviço para você.
Se você excluir essa função vinculada ao serviço e precisar criá-la novamente, poderá usar esse mesmo processo para recriar a função em sua conta. Quando você exporta seu snapshot de disco de armazenamento em bloco ou de instância do Lightsail para o Amazon EC2 ou cria ou atualiza um bucket do Lightsail, o Amazon Lightsail cria o perfil vinculado ao serviço para você novamente.
Importante
Você deve configurar permissões do IAM para permitir que Amazon Lightsail crie a função vinculada ao serviço. Para fazer isso, conclua as etapas a seguir na seção Permissões da função vinculada ao serviço.
Como editar uma função vinculada ao serviço no Amazon Lightsail
O Amazon Lightsail não permite que você edite o perfil vinculado ao serviço AWSServiceRoleForLightsail. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.
Como excluir uma função vinculada ao serviço no Amazon Lightsail
Se você não precisar mais usar um atributo ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve confirmar que não há uma instância do Amazon Lightsail ou snapshots de disco em um estado de cópia pendente antes de poder excluir o perfil vinculado ao serviço AWSServiceRoleForWordLightsail. Para obter mais informações, consulte Export snapshots to Amazon EC2.
Como excluir manualmente a função vinculada a serviço usando o IAM
Use o console do IAM, a AWS CLI ou a AWS API para excluir o perfil vinculado ao serviço AWSServiceRoleForWordLightsail. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.
Regiões com suporte a funções vinculadas a serviço do Amazon Lightsail
O Amazon Lightsail oferece suporte a funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Para obter mais informações sobre as regiões em que o Lightsail está disponível, consulte Amazon Lightsail Regions.
