为资源管理器使用服务相关角色 - AWS 资源探索器
资源管理器的服务相关角色权限为资源管理器创建服务相关角色为资源管理器编辑服务相关角色为资源管理器删除服务相关角色资源管理器服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

为资源管理器使用服务相关角色

AWS 资源探索器 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的IAM角色类型,直接链接到资源浏览器。服务相关角色由 Resource Explorer 预定义,包括该服务代表您呼叫他人 AWS 服务 所需的所有权限。

服务相关角色可让您更轻松地配置资源管理器,因为您不必手动添加必要的权限。资源管理器定义其服务相关角色的权限,除非另外定义,否则只有资源管理器可以代入该角色。定义的权限包括信任策略和权限策略,并且该权限策略不能分配给任何其他IAM实体。

有关支持服务相关角色的其他服务的信息,请参阅《IAM用户指南》IAM与之配合使用的AWS 服务。在那里可查找服务相关角色列为的服务。选择和链接,查看该服务的服务相关角色文档。

资源管理器的服务相关角色权限

资源管理器使用名为 AWSServiceRoleForResourceExplorer 的服务相关角色。此角色向 Resource Explorer 服务授予 AWS 账户 代表您查看资源和 AWS CloudTrail 事件以及为这些资源编制索引以支持搜索的权限。

AWSServiceRoleForResourceExplorer 服务相关角色仅信任具有以下服务主体的服务来代入角色:

  • resource-explorer-2.amazonaws.com

名为的角色权限策略AWSResourceExplorerServiceRolePolicy允许 Resource Explorer 只读访问权限,以检索受支持 AWS 资源的资源名称和属性。要查看资源管理器支持的服务和资源,请参阅可使用资源管理器搜索的资源类型。要查看此角色可以执行的所有操作的完整列表,可以在IAM控制台中查看该AWSResourceExplorerServiceRolePolicy策略。

委托人是诸如用户、组或角色之类的IAM实体。如果您让资源管理器在账户的第一个区域中创建索引时为您创建服务相关角色,则执行该任务的主体只需要创建资源管理器索引所需的权限。要使用手动创建服务相关角色IAM,则执行任务的委托人必须具有创建服务相关角色的权限。有关更多信息,请参阅《IAM用户指南》中的服务相关角色权限

为资源管理器创建服务相关角色

您无需手动创建服务相关角色。当你在中开启资源管理器时 AWS Management Console,或者使用 AWS CLI 或CreateIndex在账户 AWS 区域 中的第一个资源管理器中运行时 AWS API,资源浏览器会为你创建服务相关角色。

如果删除此服务相关角色,然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您进入账户RegisterResourceExplorer的第一个区域时,资源管理器会再次为您创建服务相关角色。

为资源管理器编辑服务相关角色

资源管理器不允许您编辑 AWSServiceRoleForResourceExplorer 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是,您可以使用编辑角色的描述IAM。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色

为资源管理器删除服务相关角色

您可以使用IAM控制台 AWS CLI、或手动 AWS API删除服务相关角色。为此,必须先从账户 AWS 区域 中的每个资源管理器中删除资源管理器索引,然后才能手动删除服务相关角色。

注意

如果在您试图删除资源时资源管理器服务正在使用该角色,则删除操作会失败。如果发生这种情况,则请确保删除所有区域中的所有索引,然后等待几分钟后再重试操作。

使用手动删除服务相关角色 IAM

使用IAM控制台 AWS CLI、或删除AWSServiceRoleForResourceExplorer服务相关角色。 AWS API有关更多信息,请参阅《IAM用户指南》中的删除服务相关角色

资源管理器服务相关角色支持的区域

资源管理器支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 Amazon Web Services 一般参考 中的 AWS 服务 端点