使用 Aurora DSQL 中的服务相关角色
Aurora DSQL 使用 AWS Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Aurora DSQL 直接关联。服务相关角色由 Aurora DSQL 预定义,并包含服务代表 Aurora DSQL 集群调用 AWS 服务所需的所有权限。
服务相关角色可让设置过程变得更为容易,因为您不必手动添加使用 Aurora DSQL 所需的权限。创建集群时,Aurora DSQL 将自动为您创建服务相关角色。只有在删除所有集群之后,才可删除服务相关角色。这将保护您的 Aurora DSQL 资源,因为您不会无意中移除访问资源所需的权限。
有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务,并查找 Service-Linked Role(服务相关角色)列中显示为 Yes(是)的服务。选择是和链接,查看该服务的服务相关角色文档。
服务相关角色适用于所有受支持的 Aurora DSQL 区域。
Aurora DSQL 的服务相关角色权限
Aurora DSQL 使用名为 AWSServiceRoleForAuroraDsql
的服务相关角色:支持 Amazon Aurora DSQL 代表您创建和管理 AWS 资源。此服务相关角色附加到以下托管式策略:AuroraDsqlServiceLinkedRolePolicy。
注意
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。您可能会遇到以下错误消息:You don't have the permissions to create an Amazon Aurora DSQL service-linked role
。如果您看到此消息,请确保您已启用以下权限:
{ "Sid" : "CreateDsqlServiceLinkedRole", "Effect" : "Allow", "Action" : "iam:CreateServiceLinkedRole", "Resource" : "*", "Condition" : { "StringEquals" : { "iam:AWSServiceName" : "dsql.amazonaws.com" } } }
有关更多信息,请参阅服务相关角色权限。
创建服务相关角色
您无需手动创建 AuroraDSQLServiceLinkedRolePolicy 服务相关角色。Aurora DSQL 为您创建此服务相关角色。如果已从您的账户中删除 AuroraDSQLServiceLinkedRolePolicy 服务相关角色,Aurora DSQL 将在您创建新的 Aurora DSQL 集群时创建该角色。
编辑服务相关角色
Aurora DSQL 不支持您编辑 AuroraDSQLServiceLinkedRolePolicy 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 控制台、AWS Command Line Interface (AWS CLI) 或 IAM API 编辑角色描述。
删除服务相关角色
如果不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样,您就没有未受主动监控或维护的未使用实体。
在删除账户的服务相关角色之前,必须删除该账户中的所有集群。
您可以使用 IAM 控制台、AWS CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。
Aurora DSQL 服务相关角色的受支持区域
Aurora DSQL 支持在该服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点。