本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Global Accelerator 的服务相关角色
AWS Global Accelerator 使用 AWS Identity and Access Management (IAM)服务相关角色。服务相关角色是一种与服务直接关联的独特类型的 IAM 角色。服务相关角色由服务预定义,具有服务代表您调用其他 AWS 服务所需的所有权限。
全局加速器使用以下 IAM 服务相关角色:
用于全球加速器的 AWS 服务-全局加速器使用此角色允许全局加速器创建和管理客户端 IP 地址保留所需的资源。
当首次需要该角色来支持全局加速器 API 操作时,全局加速器会自动创建名为 AWSServicerolee 的角色。全球加速器的 AWS 服务器角色允许全局加速器创建和管理客户端 IP 地址保留所需的资源。在全局加速器中使用加速器时需要此角色。AWSServiceRoleFor全球加速器角色的 ARN 如下所示:
arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator
通过使用服务相关角色,您可以更轻松地设置和使用全局加速器,因为您不必手动添加所需的权限。全局加速器定义其服务相关角色的权限,并且仅全局加速器可以担任这些角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。
必须先删除任何关联的全局加速器资源,然后才能删除服务相关角色。这确保您不会删除在访问活动资源时仍需要的服务相关角色,从而有助于保护您的全局加速器资源。
有关支持服务相关角色的其他服务的信息,请参阅。使用 IAM 的 AWS 服务并寻找具有是中的服务相关角色column.
Global Accelerator 的服务相关角色权限
Global Accelerator 使用名为的服务相关角色。用于全球加速器的 AWS 服务。以下部分介绍角色的权限。
服务相关角色权限
此服务链接角色允许全球加速器管理 EC2 弹性网络接口和安全组,并帮助诊断错误。
AWSServiceRoleForGlobal 加速器服务相关角色信任以下服务代入该角色:
-
globalaccelerator.amazonaws.com
角色权限策略策略允许 Global Access 对指定资源完成以下操作,如策略中所示:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:DescribeRegions", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSecurityGroup", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:DescribeLoadBalancers", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
您必须配置权限以允许 IAM 实体(例如,用户、组或角色)删除全局加速器服务相关角色。有关更多信息,请参阅 。服务相关角色权限中的IAM 用户指南。
为 Global Accelerator 创建服务相关角色
您不需要为全局加速器手动创建服务相关角色。当您首次创建加速器时,该服务自动为您创建角色。如果您删除全局加速器资源并删除服务相关角色,则在您创建新加速器时,服务将再次自动创建该角色。
编辑全局加速器服务相关角色
全局加速器不允许您编辑 AWSServiceRoleForGlobal 加速器服务相关角色。在该服务创建服务相关角色后,您无法更改该角色的名称,因为不同的实体可能会引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 。编辑服务相关角色中的IAM 用户指南。
删除全局加速器服务相关角色
如果您不再需要使用全局加速器,我们建议您删除服务相关角色。这样,就不会主动监控或维护您的未使用实体。但是,您必须先清除您账户中的全局加速器资源,然后才能手动删除角色。
在禁用并删除加速器后,您可以删除服务相关角色。有关删除加速器的更多信息,请参阅。 创建或更新标准加速器。
注意
如果您已经禁用和删除了加速器,但全局加速器未完成更新,删除服务相关角色可能会失败。如果发生这种情况,请等待几分钟,然后重试服务相关角色删除步骤。
手动删除全球加速器服务相关角色
登录 AWS 管理控制台,并通过以下网址打开 IAM 控制台:https://console.aws.amazon.com/iam/
。 -
在 IAM 控制台的导航窗格中,选择角色。然后,选中要删除的角色名称旁边的复选框,而不是名称或行本身。
-
对于页面顶部的角色操作,请选择删除角色。
-
在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问 AWS 服务的时间。这样可帮助您确认角色当前是否处于活动状态。如果要继续,请选择 Yes, Delete 以提交服务相关角色进行删除。
-
监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色删除是异步的,因此,在您提交角色进行删除后,删除任务可能成功,也可能失败。有关更多信息,请参阅 。删除服务相关角色中的IAM 用户指南。
全球加速器服务关联角色的更新(AWS 托管策略)
查看有关自此服务开始跟踪这些更改以来对的服务链接角色的更新的详细信息。有关此页面更改的自动警报,请订阅 AWS Global Accelerator 上的 RSS 源文档历史记录页.
| 变更 | 描述 | 日期 |
|---|---|---|
|
用于全球加速器的 AWS 服务 |
全局加速器添加了一个新的权限,以帮助全局加速器诊断错误。 Global Accelerator 使用 |
2021 年 5 月 18 日 |
|
全球加速器开始跟踪更改 |
全球加速器开始跟踪其 AWS 托管策略的更改。 |
2021 年 5 月 18 日 |
Global Accelerator 服务相关角色支持的区域
全球加速服务支持在支持全球加速服务的 AWS 区域中使用服务相关角色。
有关当前支持全球加速服务和其他服务的 AWS 区域列表,请参阅AWS 区域表
