的服務連結角色許可 AWS Audit Manager 建立 AWS Audit Manager 服務連結角色編輯 AWS Audit Manager 服務連結角色刪除 AWS Audit Manager 服務連結角色 AWS Audit Manager 服務連結角色支援的區域

使用的服務連結角色 AWS Audit Manager

AWS Audit Manager use AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 Audit Manager 的特殊 IAM 角色類型。服務連結角色由 Audit Manager 預先定義，並包含服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更 AWS Audit Manager 輕鬆地設定，因為您不必手動新增必要的許可。Audit Manager 定義其服務連結角色的許可，除非另有定義，否則僅有 Audit Manager 可以擔任其角色。定義的許可包括信任政策和許可政策，並且該許可政策不能連接到任何其他 IAM 實體。

如需關於支援服務連結角色的其他服務資訊，請參閱《可搭配 IAM 運作的AWS 服務》，並尋找在 Service-Linked Role (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的是，以檢視該服務的服務連結角色文件。

的服務連結角色許可 AWS Audit Manager

Audit Manager 使用名為的服務連結角色AWSServiceRoleForAuditManager，這可讓您存取由使用或管理的 AWS 服務和資源 AWS Audit Manager。

AWSServiceRoleForAuditManager 服務連結角色信任 auditmanager.amazonaws.com 服務來擔任該角色。

角色許可政策 AWSAuditManagerServiceRolePolicy可讓 Audit Manager 收集有關您的 AWS 用量的自動化證據。具體而言，它可以代表您執行以下動作。

Audit Manager 可以使用 AWS Security Hub 來收集合規檢查證據。在此情況下，Audit Manager 會使用下列許可，直接從中報告安全檢查的結果 AWS Security Hub。然後，將結果附加到您的相關評估控制項中作為證據。
- securityhub:DescribeStandards
注意
如需有關 Audit Manager 可描述的特定 Security Hub 控制項的詳細資訊，請參閱 AWS Audit Manager支援的AWS Security Hub 控制項。
Audit Manager 可以使用 AWS Config 來收集合規檢查證據。在此情況下，Audit Manager 會使用下列許可，直接從中報告 AWS Config 規則評估的結果 AWS Config。然後，將結果附加到您的相關評估控制項中作為證據。
- config:DescribeConfigRules
- config:DescribeDeliveryChannels
- config:ListDiscoveredResources
注意
如需 Audit Manager 可以描述哪些特定 AWS Config 規則的詳細資訊，請參閱 AWS Config 支援的規則 AWS Audit Manager。
Audit Manager 可以使用 AWS CloudTrail 收集使用者活動證據。在此情況下，Audit Manager 會使用下列許可從 CloudTrail 日誌擷取使用者活動。然後，將活動附加到您的相關評估控制項中作為證據。
- cloudtrail:DescribeTrails
- cloudtrail:LookupEvents
注意
如需 Audit Manager 可以描述哪些特定 CloudTrail 事件的詳細資訊，請參閱 AWS CloudTrail 支援的事件名稱 AWS Audit Manager。
Audit Manager 可以使用 AWS API 呼叫來收集資源組態證據。在此情況下，Audit Manager 會使用下列許可來呼叫描述下列 AWS 服務之資源組態的唯讀 API。然後，將 API 回應附加到您的相關評估控制項中作為證據。
- acm:GetAccountConfiguration
- acm:ListCertificates
- apigateway:GET
- autoscaling:DescribeAutoScalingGroups
- backup:ListBackupPlans
- backup:ListRecoveryPointsByResource
- bedrock:GetCustomModel
- bedrock:GetFoundationModel
- bedrock:GetModelCustomizationJob
- bedrock:GetModelInvocationLoggingConfiguration
- bedrock:ListCustomModels
- bedrock:ListFoundationModels
- bedrock:ListGuardrails
- bedrock:ListModelCustomizationJobs
- cloudfront:GetDistribution
- cloudfront:GetDistributionConfig
- cloudfront:ListDistributions
- cloudtrail:DescribeTrails
- cloudtrail:GetTrail
- cloudtrail:ListTrails
- cloudtrail:LookupEvents
- cloudwatch:DescribeAlarms
- cloudwatch:DescribeAlarmsForMetric
- cloudwatch:GetMetricStatistics
- cloudwatch:ListMetrics
- cognito-idp:DescribeUserPool
- config:DescribeConfigRules
- config:DescribeDeliveryChannels
- config:ListDiscoveredResources
- directconnect:DescribeDirectConnectGateways
- directconnect:DescribeVirtualGateways
- dynamodb:DescribeBackup
- dynamodb:DescribeContinuousBackups
- dynamodb:DescribeTable
- dynamodb:DescribeTableReplicaAutoScaling
- dynamodb:ListBackups
- dynamodb:ListGlobalTables
- dynamodb:ListTables
- ec2:DescribeAddresses
- ec2:DescribeCustomerGateways
- ec2:DescribeEgressOnlyInternetGateways
- ec2:DescribeFlowLogs
- ec2:DescribeInstanceCreditSpecifications
- ec2:DescribeInstanceAttribute
- ec2:DescribeInstances
- ec2:DescribeInternetGateways
- ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations
- ec2:DescribeLocalGateways
- ec2:DescribeLocalGatewayVirtualInterfaces
- ec2:DescribeNatGateways
- ec2:DescribeNetworkAcls
- ec2:DescribeRouteTables
- ec2:DescribeSecurityGroups
- ec2:DescribeSecurityGroupRules
- ec2:DescribeSnapshots
- ec2:DescribeTransitGateways
- ec2:DescribeVolumes
- ec2:DescribeVpcEndpoints
- ec2:DescribeVpcEndpointConnections
- ec2:DescribeVpcEndpointServiceConfigurations
- ec2:DescribeVpcPeeringConnections
- ec2:DescribeVpcs
- ec2:DescribeVpnConnections
- ec2:DescribeVpnGateways
- ec2:GetEbsDefaultKmsKeyId
- ec2:GetEbsEncryptionByDefault
- ec2:GetLaunchTemplateData
- ecs:DescribeClusters
- eks:DescribeAddonVersions
- elasticache:DescribeCacheClusters
- elasticache:DescribeServiceUpdates
- elasticfilesystem:DescribeAccessPoints
- elasticfilesystem:DescribeFileSystems
- elasticloadbalancing:DescribeLoadBalancers
- elasticloadbalancing:DescribeSslPolicies
- elasticloadbalancing:DescribeTargetGroups
- elasticmapreduce:ListClusters
- elasticmapreduce:ListSecurityConfigurations
- es:DescribeDomains
- es:DescribeDomain
- es:DescribeDomainConfig
- es:ListDomainNames
- events:DeleteRule
- events:DescribeRule
- events:DisableRule
- events:EnableRule
- events:ListConnections
- events:ListEventBuses
- events:ListEventSources
- events:ListRules
- events:ListTargetsByRule
- events:PutRule
- events:PutTargets
- events:RemoveTargets
- firehose:ListDeliveryStreams
- fsx:DescribeFileSystems
- guardduty:ListDetectors
- iam:GenerateCredentialReport
- iam:GetAccessKeyLastUsed
- iam:GetAccountAuthorizationDetails
- iam:GetAccountPasswordPolicy
- iam:GetAccountSummary
- iam:GetCredentialReport
- iam:GetGroupPolicy
- iam:GetPolicy
- iam:GetPolicyVersion
- iam:GetRolePolicy
- iam:GetUser
- iam:GetUserPolicy
- iam:ListAccessKeys
- iam:ListAttachedGroupPolicies
- iam:ListAttachedRolePolicies
- iam:ListAttachedUserPolicies
- iam:ListEntitiesForPolicy
- iam:ListGroupPolicies
- iam:ListGroups
- iam:ListGroupsForUser
- iam:ListMfaDeviceTags
- iam:ListMfaDevices
- iam:ListOpenIdConnectProviders
- iam:ListPolicies
- iam:ListPolicyVersions
- iam:ListRolePolicies
- iam:ListRoles
- iam:ListSamlProviders
- iam:ListUserPolicies
- iam:ListUsers
- iam:ListVirtualMFADevices
- kafka:ListClusters
- kafka:ListKafkaVersions
- kinesis:ListStreams
- kms:DescribeKey
- kms:GetKeyPolicy
- kms:GetKeyRotationStatus
- kms:ListGrants
- kms:ListKeyPolicies
- kms:ListKeys
- lambda:ListFunctions
- license-manager:ListAssociationsForLicenseConfiguration
- license-manager:ListLicenseConfigurations
- license-manager:ListUsageForLicenseConfiguration
- logs:DescribeDestinations
- logs:DescribeExportTasks
- logs:DescribeLogGroups
- logs:DescribeMetricFilters
- logs:DescribeResourcePolicies
- logs:FilterLogEvents
- logs:GetDataProtectionPolicy
- organizations:DescribeOrganization
- organizations:DescribePolicy
- rds:DescribeCertificates
- rds:DescribeDBClusterEndpoints
- rds:DescribeDBClusterParameterGroups
- rds:DescribeDBClusters
- rds:DescribeDBInstances
- rds:DescribeDBInstanceAutomatedBackups
- rds:DescribeDBSecurityGroups
- redshift:DescribeClusters
- redshift:DescribeClusterSnapshots
- redshift:DescribeLoggingStatus
- route53:GetQueryLoggingConfig
- s3:GetBucketAcl
- s3:GetBucketLogging
- s3:GetBucketOwnershipControls
- s3:GetBucketPolicy
  - 此 API 動作會在服務連結角色可用的 AWS 帳戶之範圍內運作。它無法存取跨帳戶儲存貯體政策。
- s3:GetBucketPublicAccessBlock
- s3:GetBucketTagging
- s3:GetBucketVersioning
- s3:GetEncryptionConfiguration
- s3:GetLifecycleConfiguration
- s3:ListAllMyBuckets
- sagemaker:DescribeAlgorithm
- sagemaker:DescribeDomain
- sagemaker:DescribeEndpoint
- sagemaker:DescribeEndpointConfig
- sagemaker:DescribeFlowDefinition
- sagemaker:DescribeHumanTaskUi
- sagemaker:DescribeLabelingJob
- sagemaker:DescribeModel
- sagemaker:DescribeModelBiasJobDefinition
- sagemaker:DescribeModelCard
- sagemaker:DescribeModelQualityJobDefinition
- sagemaker:DescribeTrainingJob
- sagemaker:DescribeUserProfile
- sagemaker:ListAlgorithms
- sagemaker:ListDomains
- sagemaker:ListEndpointConfigs
- sagemaker:ListEndpoints
- sagemaker:ListFlowDefinitions
- sagemaker:ListHumanTaskUis
- sagemaker:ListLabelingJobs
- sagemaker:ListModels
- sagemaker:ListModelBiasJobDefinitions
- sagemaker:ListModelCards
- sagemaker:ListModelQualityJobDefinitions
- sagemaker:ListMonitoringAlerts
- sagemaker:ListMonitoringSchedules
- sagemaker:ListTrainingJobs
- sagemaker:ListUserProfiles
- securityhub:DescribeStandards
- secretsmanager:DescribeSecret
- secretsmanager:ListSecrets
- sns:ListTagsForResource
- sns:ListTopics
- sqs:ListQueues
- waf-regional:GetLoggingConfiguration
- waf-regional:GetRule
- waf-regional:GetWebAcl
- waf-regional:ListRuleGroups
- waf-regional:ListRules
- waf-regional:ListSubscribedRuleGroups
- waf-regional:ListWebACLs
- waf:GetRule
- waf:GetRuleGroup
- waf:ListActivatedRulesInRuleGroup
- waf:ListRuleGroups
- waf:ListRules
- waf:ListWebAcls
- wafv2:ListWebAcls
注意
如需有關 Audit Manager 可以描述的特定 API 呼叫的詳細資訊，請參閱自訂控制項資料來源支援的 API 呼叫。

如需檢視服務連結角色 AWSServiceRoleForAuditManager 完整許可的詳細資訊，請參閱 AWS 受管政策參考指南中的 AWSAuditManagerServiceRolePolicy。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 IAM 使用者指南中的服務連結角色許可。

建立 AWS Audit Manager 服務連結角色

您不需要手動建立一個服務連結角色。當您啟用時 AWS Audit Manager，服務會自動為您建立服務連結角色。您可以從的加入頁面 AWS Management Console或透過 API 或啟用 Audit Manager AWS CLI。如需詳細資訊，請參閱本使用者指南中的啟用 AWS Audit Manager。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。

編輯 AWS Audit Manager 服務連結角色

AWS Audit Manager 不允許您編輯AWSServiceRoleForAuditManager服務連結角色。因為可能有各種實體會參考服務連結角色，所以您無法在建立角色之後變更其名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱 IAM 使用者指南中的編輯服務連結角色。

如需允許 IAM 實體編輯 `AWSServiceRoleForAuditManager` 服務連結角色的描述

將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策：


{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}

刪除 AWS Audit Manager 服務連結角色

如果您不再需要使用 Audit Manager，我們建議您刪除 AWSServiceRoleForAuditManager 服務連結角色。這樣就不會有未積極監控或維護的未使用實體。然而，務必清除服務連結角色，之後才能將其刪除。

清除服務連結角色

您必須先確認 Audit Manager 服務連結角色沒有作用中的工作階段，並移除該角色使用的資源，之後才能使用 IAM 將其刪除。若要這樣做，請確定 Audit Manager 全部取消註冊 AWS 區域。取消註冊後，Audit Manager 將不再使用服務連結角色。

如需有關如何取消註冊 Audit Manager 的說明，請參閱以下資源：

本指南中的禁用 AWS Audit Manager
AWS Audit Manager API 參考中的 DeregisterAccount
AWS CLI 的參考 AWS Audit Manager中的 deregister-account

如需有關如何手動刪除 Audit Manager 資源的說明，請參閱本指南中的刪除 Audit Manager 資料。

刪除服務連結角色

您可以使用 IAM 主控台、 AWS Command Line Interface (AWS CLI) 或 IAM API 來刪除服務連結角色。

IAM console

請依照下列步驟，在 IAM 主控台中刪除服務連結角色：

刪除服務連結角色 (主控台)

登入 AWS Management Console ，並在 https：//https://console.aws.amazon.com/iam/ 開啟 IAM 主控台。
在 IAM 主控台的導覽窗格中，選擇角色。選擇 AWSServiceRoleForAuditManager 旁的核取方塊，而非名稱或列本身。
在頁面頂端的角色動作下選擇刪除。
在確認對話方塊中，檢閱上次存取資訊，以顯示每個所選擇角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。如果您想要繼續進行，在文字輸入欄位中輸入 AWSServiceRoleForAuditManager，然後選擇刪除來提交服務連結角色以進行刪除。
查看 IAM 主控台通知，監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步，所以在您提交角色進行刪除之後，刪除任務可能會成功或失敗。如果任務成功，則會從清單中移除角色，而且成功訊息會出現在頁面頂端。

AWS CLI

您可以從使用 IAM 命令 AWS CLI 來刪除服務連結角色。

刪除服務連結角色 (AWS CLI)

輸入以下命令來列出您帳戶中的角色：


aws iam get-role --role-name AWSServiceRoleForAuditManager

因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 deletion-task-id，以檢查刪除任務的狀態。

輸入下列命令，以提交服務連結角色刪除要求：
```
aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager
```
使用下列命令，以檢查刪除任務的狀態：
```
aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
```
刪除任務的狀態可以是 NOT_STARTED、IN_PROGRESS、SUCCEEDED 或 FAILED。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。

IAM API

您可以使用 IAM API 刪除服務連結角色。

刪除服務連結角色 (API)

呼叫 GetRole 列出您帳戶中的角色。在請求中，指定 AWSServiceRoleForAuditManager 為 RoleName。
因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 DeletionTaskId，以檢查刪除任務的狀態。

若要提交服務連結角色的刪除請求，請呼叫 DeleteServiceLinkedRole。在請求中，指定 AWSServiceRoleForAuditManager 為 RoleName。
如需檢查刪除的狀態，請呼叫 GetServiceLinkedRoleDeletionStatus。在請求中，指定 DeletionTaskId。

刪除任務的狀態可以是 NOT_STARTED、IN_PROGRESS、SUCCEEDED 或 FAILED。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。

刪除 Audit Manager 服務連結角色的提示

如果 Audit Manager 正在使用角色或具有相關聯的資源，則 Audit Manager 服務連結角色的刪除程序可能會失敗。這可能發生在下列案例中：

您的帳戶仍在一或多個中向 Audit Manager 註冊 AWS 區域。
您的帳戶是 AWS 組織的一部分，而管理帳戶或委派管理員帳戶仍會加入 Audit Manager。

若要解決失敗的刪除問題，請先檢查您的 AWS 帳戶是否為組織的一部分。您可以呼叫 DescribeOrganization API 操作，或導覽至主控台來執行 AWS Organizations 此操作。

如果您的 AWS 帳戶是組織的一部分

使用您的管理帳戶，在您新增管理員的所有中移除 Audit Manager 中的委派管理員。 AWS 區域
在您使用服務的所有 AWS 區域中，使用您的管理帳戶取消註冊 Audit Manager。
請依照先前程序中的步驟，再次嘗試刪除服務連結角色。

如果您的 AWS 帳戶不是組織的一部分

請確定您在使用服務的所有 AWS 區域中取消註冊 Audit Manager。
請依照先前程序中的步驟，再次嘗試刪除服務連結角色。

從 Audit Manager 取消註冊後，服務將停止使用服務連結角色。然後，您可以成功刪除角色。

AWS Audit Manager 服務連結角色支援的區域

AWS Audit Manager 支援在所有提供服務 AWS 區域的中使用服務連結角色。如需詳細資訊，請參閱 AWS 服務端點。

您的瀏覽器已停用或無法使用 Javascript。

您必須啟用 Javascript，才能使用 AWS 文件。請參閱您的瀏覽器說明頁以取得說明。

文件慣用形式

故障診斷

法規遵循驗證

使用 的服務連結角色 AWS Audit Manager