使用 EC2 Capacity Manager 的服务相关角色
EC2 Capacity Manager 使用 AWS Identity and Access Management(IAM)服务相关角色。服务相关角色是一种与 Capacity Manager 直接关联的独特类型的 IAM 角色。服务相关角色由 Capacity Manager 预定义,并包含该服务代表您调用其它 AWS 服务所需的一切权限。
服务相关角色可让您更轻松地设置 Capacity Manager,因为您不必手动添加必要的权限。Capacity Manager 定义其服务相关角色的权限,除非另外定义,否则只有 Capacity Manager 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务相关角色。这将保护 Capacity Manager 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 AWS 服务,并查找服务相关角色列中显示为是的服务。选择是和链接,查看该服务的服务相关角色文档。
Capacity Manager 的服务相关角色权限
Capacity Manager 使用名为 AWSServiceRoleForEC2CapacityManager 的服务相关角色,允许您管理容量资源并代表您与 AWS Organizations 集成。
AWSServiceRoleForEC2CapacityManager 服务相关角色信任以下服务代入该角色:
-
ec2.capacitymanager.amazonaws.com
名为 AWSEC2CapacityManagerServiceRolePolicy 的角色权限策略允许 Capacity Manager 完成以下操作:
-
organizations:DescribeOrganization -
organizations:ListAccounts -
organizations:ListChildren -
organizations:ListAWSServiceAccessForOrganization -
organizations:ListDelegatedAdministrators
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
创建 Capacity Manager 的服务相关角色
您可以使用 IAM 控制台创建具有 AWSEC2CapacityManagerServiceRolePolicy 使用案例的服务相关角色。在 AWS CLI 或 AWS API 中,使用 ec2.capacitymanager.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
编辑 Capacity Manager 的服务相关角色
Capacity Manager 不允许您编辑 AWSServiceRoleForEC2CapacityManager 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Capacity Manager 的服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
注意
如果在您试图删除资源时 Capacity Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
要移除 AWSServiceRoleForEC2CapacityManager 使用的 Capacity Manager 资源
-
所有委派管理员都必须在移除组织访问权限之前禁用其 Capacity Manager。
-
在禁用 Capacity Manager 之前,必须删除所有活动的数据导出。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForEC2CapacityManager 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
Capacity Manager 服务相关角色支持的区域
Capacity Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点。
Capacity Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForEC2CapacityManager 角色。
| 区域名称 | 区域标识 | Capacity Manager 中的支持 |
|---|---|---|
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(加利福尼亚北部) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 非洲(开普敦) | af-south-1 | 否 |
| 亚太地区(香港) | ap-east-1 | 否 |
| 亚太地区(雅加达) | ap-southeast-3 | 否 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲(米兰) | eu-south-1 | 否 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 中东(巴林) | me-south-1 | 否 |
| 中东(阿联酋) | me-central-1 | 否 |
| South America(São Paulo) | sa-east-1 | 是 |
| AWS GovCloud(美国东部) | us-gov-east-1 | 否 |
| AWS GovCloud(美国西部) | us-gov-west-1 | 否 |
