Usar funções vinculadas ao serviço do Amazon Route 53 Resolver - Amazon Route 53
Permissões de função vinculadas ao serviço para o VPC ResolverCriação de uma função vinculada ao serviço para o VPC ResolverEditando uma função vinculada ao serviço para o VPC ResolverExcluindo uma função vinculada ao serviço para o VPC ResolverRegiões compatíveis com funções vinculadas ao serviço VPC Resolver

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar funções vinculadas ao serviço do Amazon Route 53 Resolver

O Route 53 VPC Resolver usa funções vinculadas a serviços AWS Identity and Access Management (IAM). Uma função vinculada a serviços é um tipo exclusivo de função do IAM vinculada diretamente ao VPC Resolver. As funções vinculadas ao serviço são predefinidas pelo VPC Resolver e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração do VPC Resolver porque você não precisa adicionar manualmente as permissões necessárias. O VPC Resolver define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente o VPC Resolver pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Você pode excluir um perfil vinculado ao serviço somente depois de excluir os atributos relacionados. Isso protege seus recursos do VPC Resolver porque você não pode remover inadvertidamente a permissão para acessar os recursos.

Para obter informações sobre outros produtos que oferecem suporte às funções vinculadas a produtos, consulte Produtos da AWS compatíveis com o IAM e procure os produtos que contêm Yes (Sim) na coluna Service-Linked Role (Função vinculada ao produto). Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.

Permissões de função vinculadas ao serviço para o VPC Resolver

O VPC Resolver usa a função AWSServiceRoleForRoute53Resolvervinculada ao serviço para fornecer registros de consulta em seu nome.

A política de permissões de função permite que o VPC Resolver conclua as seguintes ações em seus recursos:

JSON
{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Action": [
        "logs:CreateLogDelivery",
        "logs:GetLogDelivery",
        "logs:UpdateLogDelivery",
        "logs:DeleteLogDelivery",
        "logs:ListLogDeliveries",
        "logs:DescribeResourcePolicies",
        "logs:DescribeLogGroups",
        "s3:GetBucketPolicy"
      ],
      "Effect": "Allow",
      "Resource": "*"
    }
  ]
}

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Criação de uma função vinculada ao serviço para o VPC Resolver

Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você cria uma associação de configuração do log de consultas do resolvedor no console do Amazon Route 53, o AWS CLI, ou a AWS API, o VPC Resolver cria a função vinculada ao serviço para você.

Importante

Esse perfil vinculado ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com esse perfil. Além disso, se você estava usando o serviço VPC Resolver antes de 12 de agosto de 2020, quando ele começou a oferecer suporte a funções vinculadas a serviços, o VPC Resolver criou a função em sua conta. AWSServiceRoleForRoute53Resolver Para saber mais, consulte Uma Nova Função Apareceu na minha Conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você pode usar esse mesmo processo para recriar a função na sua conta. Quando você cria uma associação de configuração de log de consulta do Resolver, a função vinculada ao produto do AWSServiceRoleForRoute53Resolver é criada para você novamente.

Editando uma função vinculada ao serviço para o VPC Resolver

O VPC Resolver não permite que você edite a função vinculada ao AWSServiceRoleForRoute53Resolver serviço. Depois que criar um perfil vinculado ao serviço, você não poderá alterar o nome do perfil, pois várias entidades podem fazer referência a ele. No entanto, será possível editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluindo uma função vinculada ao serviço para o VPC Resolver

Se você não precisar mais usar um recurso ou serviço que requer um perfil vinculado ao serviço, é recomendável excluí-lo. Dessa forma, você não tem uma entidade não utilizada que não seja monitorada ativamente ou mantida. No entanto, você deve limpar os recursos de seu perfil vinculado ao serviço antes de excluí-lo manualmente.

nota

Se o serviço VPC Resolver estiver usando a função quando você tentar excluir os recursos, a exclusão poderá falhar. Se isso acontecer, espere alguns minutos e tente a operação novamente.

Para excluir os recursos do VPC Resolver usados pelo AWSServiceRoleForRoute53Resolver

  1. Faça login no Console de gerenciamento da AWS e abra o console do Route 53 em https://console.aws.amazon.com/route53/.

  2. Expanda o menu do console do Route 53. No canto superior esquerdo do console, escolha o ícone de três barras horizontais ( Menu icon ).

  3. No menu do Resolver, escolha Query logging (Log de consultas).

  4. Marque a caixa de seleção ao lado do nome da configuração do log de consultas e escolha Delete (Excluir).

  5. Na caixa de texto Delete query logging configuration (Excluir configuração de log de consultas), selecione Stop logging queries (Interromper consultas de log).

    Isso desassociará a configuração da VPC. Você também pode desassociar a configuração de log de consulta de forma programada. Para obter mais informações, consulte disassociate-resolver-query-log-config.

  6. Depois que as consultas de log forem interrompidas, você poderá digitar opcionalmente delete no campo e escolher Delete (Excluir) para excluir a configuração do log de consultas. No entanto, isso não é necessário para excluir os recursos usados pelo AWSServiceRoleForRoute53Resolver.

Como excluir manualmente o perfil vinculado ao serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForRoute53Resolver vinculada ao serviço. Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões compatíveis com funções vinculadas ao serviço VPC Resolver

O VPC Resolver não oferece suporte ao uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. Você pode usar a função AWSServiceRoleForRoute53Resolver nas seguintes regiões.

Nome da região Identidade da região Support no VPC Resolver
Leste dos EUA (Norte da Virgínia) us-east-1 Sim
Leste dos EUA (Ohio) us-east-2 Sim
Oeste dos EUA (Norte da Califórnia) us-west-1 Sim
Oeste dos EUA (Oregon) us-west-2 Sim
Ásia-Pacífico (Mumbai) ap-south-1 Sim
Ásia Pacifico (Osaka) ap-northeast-3 Sim
Ásia-Pacífico (Seul) ap-northeast-2 Sim
Ásia-Pacífico (Singapura) ap-southeast-1 Sim
Ásia-Pacífico (Sydney) ap-southeast-2 Sim
Ásia-Pacífico (Tóquio) ap-northeast-1 Sim
Canadá (Central) ca-central-1 Sim
Europa (Frankfurt) eu-central-1 Sim
Europa (Irlanda) eu-west-1 Sim
Europa (Londres) eu-west-2 Sim
Europa (Paris) eu-west-3 Sim
América do Sul (São Paulo) sa-east-1 Sim
China (Pequim) cn-north-1 Sim
China (Ningxia) cn-northwest-1 Sim
AWS GovCloud (US) us-gov-east-1 Sim
AWS GovCloud (US) us-gov-west-1 Sim