本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Resource Groups 使用服务相关角色
AWS Resource Groups 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接链接到 Resource Groups。 Service-linked 角色由 Resource Groups 预定义,包括该服务 AWS 服务 代表您呼叫他人所需的所有权限。
服务相关角色可让您更轻松地设置 Resource Groups,因为您不必手动添加必要的权限。Resource Groups 定义了其服务相关角色的权限,并为每个角色设置信任策略以确保仅有 Resource Groups 服务可担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的AWS 服务,并在Service-linked 角色列中查找带有 “是” 的服务。请选择是与查看该服务的服务关联角色文档的链接。
Service-linked Resource Groups 的角色权限
Resource Groups 使用以下服务相关角色来支持组生命周期事件。在创建角色后,选择角色名称上的链接,即可在 IAM 控制台中查看该角色。
Resource Groups 使用此角色的权限来查询拥有您的资源的人 AWS 服务 ,以帮助解决群组成员资格问题并使群组保持最新状态。它允许 Resource Groups 向亚马逊 EventBridge 服务发送与服务相关的事件。
AWSServiceRoleForResourceGroups服务相关角色仅信任以下服务来担任该角色:
-
resourcegroups.amazonaws.com
附加到该角色的权限来自以下 AWS 托管策略。选择策略名称上的链接,在 IAM 控制台中查看策略。
为 Resource Groups 创建服务相关角色
重要
如果您在其他需要此角色所支持功能的服务中完成某个操作,此服务相关角色可以出现在您的账户中。有关更多信息,请参阅 “我的” 中出现了一个新角色 AWS 账户。
要创建服务相关角色,请开启组生命周期事件功能。
编辑 Resource Groups 的服务相关角色
Resource Groups 不允许您编辑 AWSServiceRoleForResourceGroups 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务关联角色。
删除 Resource Groups 的服务相关角色
只有在关闭组生命周期事件之后,您才可以删除服务相关角色。
重要
-
AWS 防止您移除服务相关角色,直到您首次关闭创建该角色的群组生命周期事件功能。
-
我们建议您不要删除服务相关角色,前提是您的 AWS 账户资源组中包含任何资源组。如果您删除此角色,Resource Groups 服务将无法与其他人交互 AWS 服务 来管理您的群组。
手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForResourceGroups服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务关联角色。
Resource Groups 服务相关角色支持的区域
Resource Groups 支持在所有提供服务 AWS 区域 的地方使用与服务相关的角色。有关更多信息,请参阅 AWS 区域和端点。
