針對資源總管使用服務連結角色 - AWS 資源總管
資源總管的服務連結角色權限建立資源總管的服務連結角色編輯資源總管的服務連結角色刪除資源總管的服務連結角色資源總管服務連結角色的支援區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

針對資源總管使用服務連結角色

AWS 資源總管 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至資源總管的唯一IAM角色類型。服務連結角色由 Resource Explorer 預先定義,並包含服務代表您呼叫其他人所需 AWS 服務 的所有權限。

服務連結角色可讓您更輕鬆地設定資源總管,因為您不需要手動新增必要的權限。資源總管會定義其服務連結角色的權限,除非另有定義,否則只有資源總管可以擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法指派給任何其他IAM實體。

如需其他支援服務連結角色之服務的相關資訊,請參閱《IAM使用者指南》IAM中的使用AWS 務。在那裡,尋找在服務連結角色欄中具有 [是] 的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

資源總管的服務連結角色權限

資源總管使用名為AWSServiceRoleForResourceExplorer的服務連結角色。此角色會授與 Resource Explorer 服務的權限,以便代表您 AWS 帳戶 檢視資源和 AWS CloudTrail 事件,並為這些資源建立索引以支援搜尋。

AWSServiceRoleForResourceExplorer務連結角色只會信任具有下列服務主體的服務擔任該角色:

  • resource-explorer-2.amazonaws.com

名為的角色權限原則AWSResourceExplorerServiceRolePolicy允許 Resource Explorer 唯讀存取,以擷取支援資源的資 AWS 源名稱和屬性。若要檢視資源總管支援的服務和資源,請參閱您可以使用資源總管搜尋的資源類型。如需此角色可執行之所有動作的完整清單,您可以在IAM主控台中檢視AWSResourceExplorerServiceRolePolicy策略。

主參與者是IAM實體,例如使用者、群組或角色。如果讓 Resource Explorer 在帳號的第一個區域中建立索引時為您建立服務連結角色,則執行工作的主參與者只需要建立資源總管索引所需的權限。若要使用手動建立服務連結角色IAM,則執行任務的主參與者必須具有建立服務連結角色的權限。如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限

建立資源總管的服務連結角色

您不需要手動建立一個服務連結角色。當您在中開啟資源總管 AWS Management Console,或使用或CreateIndex在帳戶中的第一 AWS 區域 個執行時 AWS API,Resource Explorer 會為您建立服務連結角色。 AWS CLI

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您RegisterResourceExplorer在帳號中的第一個區域中時,資源總管會再次為您建立服務連結角色。

編輯資源總管的服務連結角色

資源總管不允許您編輯AWSServiceRoleForResourceExplorer服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色

刪除資源總管的服務連結角色

您可以使用IAM主控台 AWS CLI、或手動刪除服務連結角色。 AWS API若要這麼做,您必須先從帳戶 AWS 區域 中的每個項目移除 Resource Explorer 索引,然後才能手動刪除服務連結角色。

注意

當您嘗試刪除資源時,如果資源總管服務正在使用該角色,則刪除會失敗。如果發生這種情況,請確保刪除所有區域中的所有索引,然後等待幾分鐘,然後再次嘗試該操作。

若要使用手動刪除服務連結角色 IAM

使用IAM主控台 AWS CLI、或刪除AWSServiceRoleForResourceExplorer服務連結角色。 AWS API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色

資源總管服務連結角色的支援區域

資源總管支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 Amazon Web Services 一般參考 中的 AWS 服務 端點