# 将服务关联角色用于 AWS Identity and Access Management Access Analyzer
<a name="access-analyzer-using-service-linked-roles"></a>

AWS Identity and Access Management Access Analyzer 使用 IAM [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特的 IAM 角色类型，直接关联到 IAM Access Analyzer。服务相关角色由 IAM Access Analyzer 预定义，并包含该功能代表您调用其他 AWS 服务所需的一切权限。

服务相关角色让您可以轻松设置 IAM Access Analyzer，因为您不必手动添加必要的权限。IAM Access Analyzer 定义其服务相关角色的权限，除非另外定义，否则只有 IAM Access Analyzer 可以代入其角色。定义的权限包括信任策略和权限策略，而且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其他服务的信息，请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。请选择**是**与查看该服务的服务关联角色文档的链接。

## 的服务关联角色权限AWS Identity and Access Management Access Analyzer
<a name="slr-permissions"></a>

AWS Identity and Access Management Access Analyzer 使用名为 **AWSServiceRoleForAccessAnalyzer** 的服务相关角色：允许 Access Analyzer 分析外部访问的资源元数据，并分析活动以识别未使用的访问。

AWSServiceRoleForAccessAnalyzer 服务相关角色信任以下服务来代入该角色：
+ `access-analyzer.amazonaws.com`

名为 [`AccessAnalyzerServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-aa-service-role-policy) 的角色权限策略允许 IAM Access Analyzer 完成对特定资源的操作。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 创建 IAM Access Analyzer 的服务相关角色
<a name="create-slr"></a>

您无需手动创建服务关联角色。当您在 AWS 管理控制台 或 AWS API 中启用 IAM Access Analyzer 时，IAM Access Analyzer 将为您创建服务相关角色。在您启用 IAM Access Analyzer 的所有区域中使用相同的服务相关角色。外部访问和未使用的访问调查发现使用相同的服务相关角色。

**注意**  
IAM Access Analyzer 是区域性的。您必须在每个区域内单独启用 IAM Access Analyzer。

如果您删除此服务相关角色，则在您下次创建分析器时，IAM Access Analyzer 会重新创建该角色。

您也可以使用 IAM 控制台为 **Access Analyzer** 使用案例创建服务相关角色。在 AWS CLI 或 AWS API 中，使用 `access-analyzer.amazonaws.com` 服务名称创建服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色，可以使用同样的过程再次创建角色。

## 编辑 IAM Access Analyzer 的服务相关角色
<a name="edit-slr"></a>

IAM Access Analyzer 不允许编辑 AWSServiceRoleForAccessAnalyzer 服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 IAM Access Analyzer 的服务相关角色
<a name="delete-slr"></a>

如果您不再需要使用某个需要服务相关角色的特征或服务，我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是，您必须先清除服务相关角色的资源，然后才能手动删除它。

如果 AWS Organizations 中的一个或多个区域启用了 IAM Access Analyzer，则必须先删除组织所有区域中的所有分析器，然后才能尝试删除此角色。

**注意**  
尝试删除资源时，如果 IAM Access Analyzer 正在使用该角色，删除操作可能会失败。如果发生这种情况，请等待几分钟后重试。

**要删除 AWSServiceRoleForAccessAnalyzer 角色使用的 IAM Access Analyzer 资源**

1. 通过 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 打开 IAM 控制台。

1. 在 **Access reports (访问报告)** 部分中的 **Access analyzer (访问分析器)** 下，选择 **Analyzers (分析器)**。

1. 选择要从中删除附加到服务相关角色的 IAM Access Analyzer 资源的分析器。

1. 选择**删除**。

1. 要确认您要删除分析器，请输入 **delete**，然后选择 **Delete (删除)**。

**使用 IAM 手动删除服务关联角色**

使用 IAM 控制台、AWS CLI 或AWS API 删除 AWSServiceRoleForAccessAnalyzer 服务相关角色。有关更多信息，请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## IAM Access Analyzer 服务相关角色的支持区域
<a name="slr-regions"></a>

IAM Access Analyzer 支持在服务可用的所有区域使用服务相关角色。有关更多信息，请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。