那些遇到过的问题

AWS——我如何知道什么在使用服务相关角色?

MGo*_*e93 3 amazon-web-services amazon-iam

在我的 AWS 控制台(IAM -> 访问管理 -> 角色)中,我注意到所有角色列表中有一个与服务相关的角色。

我如何确定哪些 AWS 资源可以担任此服务相关角色。我问是因为我正在审核系统并试图了解其他地方可能正在使用的权限。有人(不知道是谁)出于某种原因创建了它。我想弄清楚为什么。

我如何知道什么在使用此服务相关角色?

Mar*_*per 5

服务相关角色是由一项特定的 AWS 服务设计使用的。在 IAM 服务的 AWS 管理控制台中,您可以单击一个角色并查看“摘要”。摘要包含一个路径,它看起来像以下属性:/aws-service-role/access-analyzer.amazonaws.com/

在此示例中,您可以看到使用此角色的服务称为 Access Analyzer

您可以在文档中获取有关该特定服务的服务相关角色的信息。[1]
导航到“安全、身份和合规性服务”部分 -> 搜索“IAM 访问分析器”行,然后单击表的“服务相关角色”列中的链接。链接文档通常会告诉您 AWS 为何设置此特定服务链接角色以及它包含哪些权限。

有关服务相关角色的一般信息由“服务相关角色”[2] 和 IAM“疑难解答”指南 [3] 上的 IAM 文档提供。

如果您想知道上次在您的帐户中使用特定服务相关角色的时间,请使用访问分析器[4]。

目前,AWS 官方博客 [5] 中有 3 篇关于主题服务相关角色的帖子。其中两个可能与您的问题有关:

  • 博客文章“提高AWS 服务使用 AWS CloudTrail 代表您执行的操作的透明度 ”[6] 详细介绍了如何监控角色执行的操作。我猜这也是@jellycsc 的回答所建议的程序。

    摘自博文 [6]:

    在这篇博文中,我演示了如何查看 CloudTrail 日志,以便您可以更轻松地监控和审计代表您执行操作的 AWS 服务。首先,我将展示当您配置支持服务相关角色的 AWS 服务时,AWS 如何在您的账户中自动创建服务相关角色。接下来,我将展示您如何查看授予 AWS 服务权限以代表您执行操作的服务相关角色的策略。最后,我使用配置的 AWS 服务来执行一个操作,并向您展示该操作如何出现在您的 CloudTrail 日志中。

  • 博客文章“当您不再需要 AWS 服务代表您执行操作时,现在使用 AWS IAM 删除服务相关角色”[7] 发表了以下声明:

    当您删除服务相关角色时,链接服务不再有权代表您执行操作。为确保您的 AWS 服务在您删除服务相关角色时继续按预期运行,IAM 会验证您不再拥有需要服务相关角色才能正常运行的资源. 这可以防止您无意中撤销 AWS 服务管理现有 AWS 资源所需的权限,并帮助您将资源保持在一致的状态。如果您的账户中有任何资源需要服务相关角色,当您尝试删除服务相关角色时,您将收到错误消息,服务相关角色将保留在您的账户中。如果您没有任何需要服务相关角色的资源,您可以删除服务相关角色,IAM 将从您的账户中删除服务相关角色。

参考

[1] https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#admin_svcs
[2] https://docs.aws.amazon.com /IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role
[3] https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new -角色出现
[4] https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html?icmpid=docs_iam_console
[5] https://aws.amazon.com/de/blogs /security/tag/service-linked-roles/
[6] https://aws.amazon.com/de/blogs/security/get-greater-transparency-into-actions-aws-services-perform-on-your-代表使用 aws-cloudtrail/
[7]https://aws.amazon.com/de/blogs/security/now-use-aws-iam-to-delete-a-service-linked-role-when-you-no-longer-require-an-aws-代表您的服务执行行动/

归档时间:

查看次数:

832 次

最近记录:

5 年,5 月 前
相关归档
使用Amazon SQS的.net应用程序示例 16
我可以删除我的实例上的公共IP而不终止它吗? 15
CloudFormation IAM角色 - AssumeRolePolicyDocument 9
具有跨帐户IAM角色的EC2实例 9
重置 AWS Route 53 名称服务器 9
如何远程连接到 GCP ML Engine/AWS Sagemaker 托管笔记本? 9
使用AWS Gateway API,我可以访问cookie吗? 8
Node.js Lambda函数中的AWS-SDK找不到端点缓存模块 7
如何在 EFS 上创建文件夹? 7
限制IAM用户从特定发件人发送SES电子邮件的AWS策略 5
难疑归档
如何从JavaScript中删除数组中的特定元素? 7655
如何制作一个很好的R可重复的例子 2474
如何从YouTube API获取YouTube视频缩略图? 2291
按值复制数组 1638
Make .gitignore会忽略除少数文件之外的所有内容 1531
什么是未定义的引用/未解析的外部符号错误,我该如何解决? 1418
适用于PDF文件的MIME媒体类型 1229
在Python中创建一个包含列表推导的字典 1216
无法绑定到'ngModel',因为它不是'input'的已知属性 1173
测量Python中经过的时间? 1031