本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的服務連結角色
AWS Global Accelerator 使用 AWS Identity and Access Management (IAM)服務連結角色。服務連結角色是直接連結至服務的一種特殊 IAM 角色類型。服務連結角色由服務預先定義,並包含該服務在代表您呼叫其他 AWS 服務時,需要用到的所有權限。
全域加速器使用以下 IAM 服務連結角色:
全球加速器的 AWS 服務— 全域加速器使用此角色來允許全域加速器建立及管理用戶端 IP 位址保留所需的資源。
當第一次需要此角色才能支援全域加速器 API 作業時,全域加速器會自動建立名為 AWsServices 為全域加速器的角色。「AWsServices 全域加速器」角色可讓「全域加速器」建立和管理用戶端 IP 位址保留所需的資源。在全域加速器中使用加速器時,需要此角色。AWSServiceRoleFor全球加速工具角色的 ARN 看起來類似如下:
arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator
服務連結角色可讓設定及使用全球加速器變得更輕鬆,因為您不必手動新增必要的許可。全球加速器會定義其服務連結角色的許可,且唯有全球加速器可以擔任此角色。已定義的許可包括信任政策和許可政策。許可原則無法附加到其他任何 IAM 實體。
您必須移除任何關聯的全域加速器資源,才能刪除服務連結角色。這有助於保護您的全域加速器資源,確保您不會移除在存取作用中資源時仍有需要的服務連結角色。
如需支援服務連結角色之其他服務的資訊,請參閱與 IAM 搭配使用的 AWS 服務並尋找有是中的服務連結角色資料行。
的服務連結角色許可
全域加速器使用名為的服務連結角色全球加速器的 AWS 服務。下列小節說明角色的許可。
服務連結角色許可
此服務連結的角色可讓全域加速器管理 EC2 彈性網路介面和安全性群組,並協助診斷錯誤。
針對 AWSServiceRoleForCloForCloForCollControlForCloForCollControlForCollControlForCloForCloForClo
-
globalaccelerator.amazonaws.com
此角色許可政策允許全球加速器對指定資源完成下列動作,如政策所示:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Action": [ "ec2:CreateNetworkInterface", "ec2:DescribeNetworkInterfaces", "ec2:DescribeInstances", "ec2:DescribeInternetGateways", "ec2:DescribeSubnets", "ec2:DescribeRegions", "ec2:ModifyNetworkInterfaceAttribute", "ec2:DeleteNetworkInterface" ], "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:DeleteSecurityGroup", "Resource": "*", "Condition": { "StringEquals": { "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator" } } }, { "Effect": "Allow", "Action": [ "ec2:CreateSecurityGroup", "ec2:DescribeSecurityGroups" ], "Resource": "*" }, { "Effect": "Allow", "Action": "elasticloadbalancing:DescribeLoadBalancers", "Resource": "*" }, { "Effect": "Allow", "Action": "ec2:CreateTags", "Resource": [ "arn:aws:ec2:*:*:security-group/*", "arn:aws:ec2:*:*:network-interface/*" ] } ] }
您必須設定許可,讓 IAM 實體 (如使用者、群組或角色) 刪除全球加速器服務連結角色。如需詳細資訊,請參閱「」服務連結角色許可中的IAM 使用者指南。
為建立全域加速器建立服務連結角色
您不需要手動建立全域加速工具的服務連結角色。服務會在您第一次建立加速器時,自動為您建立角色。若您移除全域加速器資源並刪除服務連結角色,則當您建立新的加速器時,服務將會自動重新建立角色。
編輯全域加速器服務連結角色
全域加速器不允許您編輯 AWSServiceRoleFor全域加速器服務連結角色。在此服務建立服務連結角色之後,您將無法變更該角色的名稱,因為各種實體皆可能會參考該角色。然而,您可使用 IAM 編輯角色的描述。如需詳細資訊,請參閱 IAM 使用者指南中的編輯服務連結角色。
刪除全域加速器服務連結角色
如果您不再需要使用全域加速器,建議您刪除服務連結角色。如此一來,您就沒有非主動監控或維護的未使用實體。然而,您必須先清除您帳戶中的全球加速器資源,然後才能手動刪除這些角色。
停用並刪除您的加速程式後,您可以刪除服務連結角色。如需有關刪除加速器的詳細資訊,請參閱 建立或更新標準加速器。
注意
如果您已停用並刪除加速器,但是全球加速器未完成更新,則刪除服務連結角色的動作可能會失敗。如果發生此情況,請等候數分鐘,然後再次嘗試服務連結角色刪除步驟。
手動刪除 AWSServiceRoleFor全球加速工具服務連結角色
登入 AWS 管理主控台,然後前往 https://console.aws.amazon.com/iam/
開啟 IAM 主控台。 -
在 IAM 主控台的導覽窗格中,選擇 Roles (角色)。然後,選擇您要刪除的角色名稱旁的核取方塊,而非名稱或資料列本身。
-
在頁面頂端的 Role (角色) 動作中選擇 Delete (刪除) 角色。
-
在確認對話方塊中,檢閱服務上次存取資料,以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。如果您想要繼續進行,請選擇 Yes, Delete (是,刪除) 來提交服務連結角色以進行刪除。
-
查看 IAM 主控台通知,監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步,所以在您提交角色進行刪除之後,刪除任務可能會成功或失敗。如需詳細資訊,請參閱「」刪除服務連結角色中的IAM 使用者指南。
全球加速器服務連結角色 (AWS 受管政策) 的更新
檢視自此服務開始追蹤這些變更後,服務連結角色更新的詳細資料。如需有關此頁面變更的自動警示,請在 AWS Global Accelerator 上訂閱 RSS 摘要文件歷史記錄(憑證已建立!) 頁面上的名稱有些許差異。
| 變更 | 描述 | 日期 |
|---|---|---|
|
全球加速器的 AWS 服務 |
全域加速器新增了新的權限,以協助全域加速器診斷錯誤。 Global Accelerator |
2021 年 5 月 18 日 |
|
全球加速器開始追蹤變更 |
全球加速器開始追蹤其 AWS 受管政策的變更。 |
2021 年 5 月 18 日 |
全域加速器服務連結角色的支援區域
全球加速器支援在支援全球加速器的 AWS 區域中,使用服務連結角色。
如需目前支援全球加速器和其他服務的 AWS 區域清單,請參閱AWS 區域表格
