本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
App Studio 的服务相关角色
App Studio 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接关联到 App Studio。服务相关角色由 App Studio 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置 App Studio 变得更加容易,因为您不必手动添加必要的权限。App Studio 定义了其服务相关角色的权限,除非另有定义,否则只有 App Studio 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务相关角色。这样可以保护您的 App Studio 资源,因为您不会无意中移除访问这些资源的权限。
App Studio 的服务相关角色权限
App Studio 使用名为AWSServiceRoleForAppStudio的服务相关角色。这是 App Studio 持续管理 AWS 服务、维护应用程序构建体验所需的服务相关角色。
AWSServiceRoleForAppStudio服务相关角色使用以下信任策略,该策略仅信任appstudio-service.amazonaws.com服务:
{ "Version": "2012-10-17", "Statement": [ { "Effect": "Allow", "Principal": { "Service": "appstudio-service.amazonaws.com" }, "Action": "sts:AssumeRole" } ] }
对于权限,AWSServiceRoleForAppStudio服务相关角色提供对以下服务的权限:
亚马逊 CloudWatch:发送有关 App Studio 使用情况的日志和指标。
AWS Secrets Manager:在 App Studio 中管理连接器的凭据,用于将应用程序连接到其他服务。
IAM 身份中心:只读访问权限以管理用户访问权限。
具体而言,授予的AWSServiceRoleForAppStudio权限由附加的AppStudioServiceRolePolicy托管策略定义。有关托管策略的更多信息(包括其包含的权限),请参阅AWS 托管策略: AppStudioServiceRolePolicy。
为 App Studio 创建服务相关角色
您无需手动创建服务相关角色。当您创建 App Studio 实例时,App Studio 会为您创建服务相关角色。
如果您删除此服务相关角色,建议您创建一个 App Studio 实例,以便自动为您创建另一个实例。
虽然不是必需的,但您也可以使用 IAM 控制台或 AWS CLI 通过使用服务名称创建服务相关角色来创建服务相关角色,如前appstudio-service.amazonaws.com面显示的信任策略片段所示。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。
编辑 App Studio 的服务相关角色
App Studio 不允许您编辑AWSServiceRoleForAppStudio服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 App Studio 的服务相关角色
您无需删除该AWSServiceRoleForAppStudio角色。当您删除 App Studio 实例时,App Studio 会自动清理资源并删除与服务相关的角色。
虽然不建议这样做,但您可以使用 IAM 控制台或删除服务相关角色。 AWS CLI 为此,您必须先清理服务相关角色的资源,然后才能将其删除。
注意
如果您尝试删除资源时 App Studio 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
使用 IAM 手动删除服务相关角色
从 App Studio 实例中删除应用程序和连接器。
使用 IAM 控制台、IAM CLI 或 IAM API 删除
AWSServiceRoleForAppStudio服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
