本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
AWS Site-to-Site AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至站台對站台 VPN 的一種特殊 IAM 角色類型。服務連結角色是由 Site-to-Site VPN 預先定義,並包含服務 AWS 代表您呼叫其他服務所需的所有許可。
服務連結角色可讓設定站台對站台 VPN 更為簡單,因為您不必手動新增必要的許可。站台對站台 VPN 定義其服務連結角色的許可,除非另有定義,否則僅有站台對站台 VPN 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您站台對站台 VPN 的資源,避免您不小心移除資源的存取許可。
站台對站台 VPN 服務連結角色許可
站台對站台 VPN 會使用名為 AWSServiceRoleForVPCS2SVPN ─ 允許站台對站台 VPN 建立和管理與您的 VPN 連線相關的資源。
AWSServiceRoleForVPCS2SVPN 服務連結角色信任下列服務來擔任該角色:
-
AWS Certificate Manager -
AWS Private Certificate Authority
此服務連結角色使用受管政策 AWSVPCS2SVpnServiceRolePolicy。若要檢視此政策的許可,請參閱 AWS 受管政策參考中的 AWSVPCS2SVpnServiceRolePolicy。
為Site-to-Site VPN 建立服務連結角色
您不需要手動建立一個服務連結角色。當您在 AWS Management Console、 AWS CLI或 AWS API 中建立具有關聯 ACM 私有憑證的客戶閘道時,Site-to-Site VPN 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您使用相關聯的 ACM 私有憑證建立客戶閘道時,站台對站台 VPN 會為您建立服務連結角色。
編輯Site-to-Site VPN 的服務連結角色
站台對站台 VPN 不允許您編輯 AWSServiceRoleForVPCS2SVPN 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色描述。
刪除Site-to-Site VPN 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
注意
若站台對站台 VPN 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
刪除 AWSServiceRoleForVPCS2SVPN 所使用的站台對站台 VPN 資源
只有在刪除具有關聯 ACM 私有憑證的所有客戶閘道之後,才能刪除此服務連結角色。這可確保您不會意外移除存取站台對站台 VPN 連接所使用 ACM 憑證的許可。
使用 IAM 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForVPCS2SVPN 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
