AWS CloudHSM 的服务相关角色

您之前为 AWS CloudHSM 的客户管理型策略 创建的 IAM policy 包含 iam:CreateServiceLinkedRole 操作。AWS CloudHSM 定义名为 AWSServiceRoleForCloudHSM 的服务相关角色。该角色由 AWS CloudHSM 预定义，并包含 AWS CloudHSM 代表您调用其他 AWS 服务所需的权限。通过该角色可以更轻松地设置您的服务，因为您无需手动添加角色策略和信任策略权限。

角色策略允许 AWS CloudHSM 创建 Amazon CloudWatch Logs 日志组和日志流并代表您写入日志事件。您可以在下面以及 IAM 控制台中查看该策略。

JSON

{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "logs:CreateLogGroup",
                "logs:CreateLogStream",
                "logs:PutLogEvents",
                "logs:DescribeLogStreams"
            ],
            "Resource": [
                "arn:aws:logs:*:*:*"
            ]
        }
    ]
}

AWSServiceRoleForCloudHSM 角色的信任策略允许 AWS CloudHSM 代入该角色。

JSON

{
  "Version":"2012-10-17",		 	 	 
  "Statement": [
    {
      "Effect": "Allow",
      "Principal": {
        "Service": "cloudhsm.amazonaws.com"
      },
      "Action": "sts:AssumeRole"
    }
  ]
}

创建服务相关角色 (自动)

如果您在创建 AWS CloudHSM 管理员组时定义的权限中包含 iam:CreateServiceLinkedRole 操作，则 AWS CloudHSM 将创建 AWSServiceRoleForCloudHSM 角色。请参阅AWS CloudHSM 的客户管理型策略。

如果您已有一个或多个集群，并且要添加 AWSServiceRoleForCloudHSM 角色，则可以使用控制台、create-cluster 命令或 CreateCluster API 操作创建集群。然后，使用控制台、delete-cluster 命令或 DeleteCluster API 操作删除它。创建新集群时，会创建服务相关角色并将其应用到您的账户中的所有集群。或者，您可以手动创建该角色。有关更多信息，请参阅以下部分。

创建服务相关角色 (手动)

您可以使用 IAM 控制台、AWS CLI 或 API 创建 AWSServiceRoleForCloudHSM 角色。有关更多信息，请参阅《IAM 用户指南》中的创建服务相关角色。

编辑服务相关角色

AWS CloudHSM 不允许您编辑 AWSServiceRoleForCloudHSM 角色。例如，在创建该角色后，您无法更改其名称，因为可能有不同的实体使用名称来引用该角色。此外，您无法更改角色策略。不过，您可以使用 IAM 编辑角色描述。有关更多信息，请参见 IAM 用户指南中的编辑服务相关角色。

删除服务相关角色

只要服务相关角色应用于的集群仍然存在，您就无法删除该角色。要删除该角色，必须先删除集群中的每个 HSM，然后删除集群。必须删除您的账户中的每个集群。然后，可以使用 IAM 控制台、AWS CLI 或 API 删除该角色。有关删除集群的更多信息，请参阅删除 AWS CloudHSM 集群。有关更多信息，请参见《IAM 用户指南》中的删除服务相关角色。