View a markdown version of this page

使用适用于 Amazon 的服务相关角色 AppIntegrations - Amazon Connect Customer
Service-linked Amazon 的角色权限 AppIntegrations为 Amazon 创建服务相关角色 AppIntegrations编辑 Amazon 的服务相关角色 AppIntegrations删除 Amazon 的服务相关角色 AppIntegrationsAmazon AppIntegrations 服务相关角色支持的区域

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用适用于 Amazon 的服务相关角色 AppIntegrations

亚马逊 AppIntegrations 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon AppIntegrations 直接关联的独特的 IAM 角色。 Service-linked 角色由 Amazon AppIntegrations 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置 Amazon AppIntegrations 变得更加容易,因为您不必手动添加必要的权限。亚马逊 AppIntegrations 定义其服务相关角色的权限,除非另有定义,否则只有亚马逊 AppIntegrations 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 Amazon AppIntegrations 资源,因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的AWS 服务,并在Service-linked 角色列中查找标有 “” 的服务。请选择与查看该服务的服务关联角色文档的链接。

Service-linked Amazon 的角色权限 AppIntegrations

Amazon AppIntegrations 使用名为的服务相关角色 AWSServiceRoleForAppIntegrations,该角色 AppIntegrations 允许您代表您访问 AWS 服务和资源。

AWSServiceRoleForAppIntegrations 服务相关角色信任以下服务来代入该角色:

  • app-integrations.amazonaws.com

名为的角色权限策略 AppIntegrationsServiceLinkedRolePolicy 允许 Amazon AppIntegrations 对指定资源完成以下操作:

JSON

     {
    "Version":"2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "cloudwatch:PutMetricData"
            ],
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "cloudwatch:namespace": "AWS/AppIntegrations"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:DescribeConnectorEntity",
                "appflow:ListConnectorEntities"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:DescribeConnectorProfiles",
                "appflow:UseConnectorProfile"
            ],
            "Resource": "arn:aws:appflow:*:*:connector-profile/*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:DeleteFlow",
                "appflow:DescribeFlow",
                "appflow:DescribeFlowExecutionRecords",
                "appflow:StartFlow",
                "appflow:StopFlow",
                "appflow:UpdateFlow"
            ],
            "Condition": {
                "StringEquals": {
                    "aws:ResourceTag/AppIntegrationsManaged": "true"
                }
            },
            "Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
        },
        {
            "Effect": "Allow",
            "Action": [
                "appflow:TagResource"
            ],
            "Condition": {
                "ForAllValues:StringEquals": {
                    "aws:TagKeys": [
                        "AppIntegrationsManaged"
                    ]
                }
            },
            "Resource": "arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-*"
        }
    ]
}

  • 操作:使用 StringEquals 条件 "cloudwatch:namespace": "AWS/AppIntegrations""*" 进行 cloudwatch:PutMetricData

  • 操作:"*" 上的 appflow:DescribeConnectorEntityappflow:ListConnectorEntities

  • 操作: arn:aws:appflow:*:*:connector-profile/* 上的 appflow:DescribeConnectorProfilesappflow:UseConnectorProfile

  • 操作:在 arn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-* 上使用 StringEquals 条件 "aws:ResourceTag/AppIntegrationsManaged": "true" 进行 appflow:DeleteFlowappflow:DescribeFlowappflow:DescribeFlowExecutionRecordsappflow:StartFlowappflow:StopFlowappflow:UpdateFlow

  • 操作:使用 ForAllValues:StringEquals aws:TagKeys 条件 AppIntegrationsManagedarn:aws:appflow:*:*:flow/FlowCreatedByAppIntegrations-* 进行 appflow:TagResource

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅 IAM 用户指南中的Service-linked 角色权限

为 Amazon 创建服务相关角色 AppIntegrations

您无需手动创建服务关联角色。当您使用、或 AWS API 中的 Connect AI 代理、客户档案或任务小组件创建数据或事件集成时 AWS CLI,Amazon AppIntegrations 会为您创建服务相关角色。 AWS 管理控制台

重要

如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。此外,如果您在 2022 年 9 月 30 日亚马逊开始支持服务相关角色之后创建了任何新的亚马逊 AppIntegrations 资源,则亚马逊会在您的账户中 AppIntegrations 创建该 AWSServiceRoleForAppIntegrations 角色。要了解更多信息,请参阅我的 IAM 账户中出现新角色

如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 Connect Customer 中使用 Connect AI 代理、客户档案或任务小组件创建数据或事件集成时,Amazon AppIntegrations 会再次为您创建服务相关角色。

您也可以使用 IAM 控制台为 AppIntegrations 使用案例创建服务相关角色。在 AWS CLI 或 AWS API 中,使用服务名称创建服务相关角色。app-integrations.amazonaws.com有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。

编辑 Amazon 的服务相关角色 AppIntegrations

Amazon AppIntegrations 不允许您编辑 AWSServiceRoleForAppIntegrations 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务关联角色

删除 Amazon 的服务相关角色 AppIntegrations

如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。您必须先在 AWS 控制台中删除您的数据和事件集成关联,然后使用删除您的数据和事件集成。 AWS CLI

注意

如果您尝试删除资源时,Amazon AppIntegrations 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。

要删除 AWSServiceRoleForAppIntegrations 中使用的数据集成关联 AWS 控制台

  1. 前往 Connect 客户控制台的 Connect AI 代理部分,然后选择要删除的数据集成关联的名称。

  2. 选择集成详细信息部分右侧的删除

  3. 在弹出框中,输入集成的名称进行确认,然后选择删除

要删除使用的数据集成,请 AWSServiceRoleForAppIntegrations 使用 AWS CLI

  1. 列出您的数据集成以查看现有集成的名称。

    aws appintegrations list-data-integrations

  2. 使用数据集成名称删除每个集成。

    aws appintegrations delete-data-integration --data-integration-identifier DATA_INTEGRATION_NAME

要删除 AWSServiceRoleForAppIntegrations 中使用的事件集成关联 AWS 控制台

  1. 前往 Connect 客户控制台的 “客户档案” 或 “任务” 部分,然后选择要删除的事件集成关联的名称。

  2. 在“Tasks”部分选择事件集成后,将出现一个弹出窗口。选择删除连接按钮并输入单词 remove,以删除您的事件集成关联。

要删除使用的事件集成,请 AWSServiceRoleForAppIntegrations 使用 AWS CLI

  1. 列出您的事件集成,以查看现有集成的名称。

    aws appintegrations list-event-integrations

  2. 使用数据集成名称删除每个集成。

    aws appintegrations delete-event-integration --name EVENT_INTEGRATION_NAME

使用 IAM 手动删除服务关联角色

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAppIntegrations服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务关联角色

Amazon AppIntegrations 服务相关角色支持的区域

Amazon AppIntegrations 支持在提供服务的所有地区使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点

您可以在以下区域使用该 AWSServiceRoleForAppIntegrations 角色。

区域名称 区域标识 Amazon 中的 Support AppIntegrations
美国东部(弗吉尼亚州北部) us-east-1
美国西部(俄勒冈州) us-west-2
亚太地区(孟买) ap-south-1
亚太地区(首尔) ap-northeast-2
亚太地区(新加坡) ap-southeast-1
亚太地区(悉尼) ap-southeast-2
亚太地区(东京) ap-northeast-1
加拿大(中部) ca-central-1
欧洲地区(法兰克福) eu-central-1
欧洲地区(伦敦) eu-west-2
非洲(开普敦) af-south-1