本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# AWS 亚马逊 EVS 的托管政策
AWS 托管策略是由创建和管理的独立策略 AWS。 AWS 托管策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住, AWS 托管策略可能不会为您的特定用例授予最低权限权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于使用案例的[客户管理型策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管策略中定义的权限。如果 AWS 更新 AWS 托管策略中定义的权限,则更新会影响该策略所关联的所有委托人身份(用户、组和角色)。 AWS 最有可能在启动新的 API 或现有服务可以使用新 AWS 服务 的 API 操作时更新 AWS 托管策略。有关更多信息,请参阅《* IAM 用户指南》*中的[AWS 托管策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略:Amazon EVSService RolePolicy
您不能将 `AmazonEVSServiceRolePolicy` 附加到自己的 IAM 实体。本政策附属于服务相关角色,允许 Amazon EVS 代表您执行操作。有关更多信息,请参阅 [为 Amazon EVS 使用服务相关角色](using-service-linked-roles.md)。当您使用具有`iam:CreateServiceLinkedRole`权限的 IAM 委托人创建环境时,系统会自动为您创建附有此策略的`AWSServiceRoleforAmazonEVS`服务相关角色。
此政策允许`AWSServiceRoleForAmazonEVS`服务相关角色代表您 AWS 服务 进行呼叫。
**权限详细信息**
该策略包括以下权限,允许 Amazon EVS 完成以下任务。
+ `ec2`-发现 VPC 网络组件,包括子网和。 VPCs创建、修改、标记和删除弹性网络接口,这些接口用于在您的 VPC 子网中的 Amazon EVS 和 VMware 虚拟云基金会 (VCF) SDDC Manager 设备之间建立持久连接。Amazon EVS 需要这种连接才能部署、管理和监控 VCF 部署。
+ `ec2`-删除 Amazon EVS 在您提出 EVS 主机删除请求时创建的 EC2 实例。描述和修改 EC2 实例属性,以便在需要时可以禁用默认 EC2 实例终止和停止保护,以支持 EVS 主机删除。
+ `ec2`-管理 EBS 卷以安装和清理云构建器。在创建环境期间,云构建器会安装到其中一台 Amazon EVS 部署的主机上,以执行 VCF 配置更改。完成后,Amazon EVS 会通过分离和删除存储云构建器的 EC2 卷来移除云构建器。
+ `ec2`-如果您请求删除环境,请代表您删除 EVS VLAN 子网。
+ `secretsmanager`-删除 Amazon EVS 在创建环境期间创建并存储在 S AWS ecrets Manager 中的 VCF 密码。如果环境创建失败或您请求删除环境,Amazon EVS 会删除该服务在您的账户中创建的所有密钥。通过提供 AWS 密钥 ARN 来配置 vCenter 连接器时,从 Secrets Manager 检索 vCenter 凭证。该权限的范围以资源标签条件为限,`EvsAccess=true`以确保 Amazon EVS 仅访问明确标记为 Amazon EVS vCenter 访问的机密。
+ `kms`-当存储在 Secrets Manager 中的 vCenter 凭据使用 KMS 密钥加密时,解密密密钥并描述 KMS 密钥。权限的范围以资源标签条件为限,`EvsAccess=true`以确保 Amazon EVS 仅访问明确标记为 vCenter 访问的 KMS 密钥。
+ `cloudwatch`-发布有配额 CloudWatch 的 Amazon EVS 资源的 AWS 使用量指标。
要查看有关该政策的更多详细信息,包括最新版本的 JSON 策略文档,请参阅* AWS 托管策略参考指南EVSServiceRolePolicy*中的 [Amazon](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEVSServiceRolePolicy.html)。
## Amazon EVS 更新了托 AWS 管政策
查看自该服务开始跟踪这些更改以来,Amazon EVS AWS 托管政策更新的详细信息。要获得有关此页面更改的自动提示,请订阅 [《亚马逊弹性 VMware 服务用户指南》的文档历史记录](doc-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 亚马逊 EVSService RolePolicy -政策已更新 | Amazon EVS 更新了政策,允许该服务从 Secrets AWS Manager 检索 vCenter 凭证并解密使用 KMS 密钥加密的机密。要了解更多信息,请参阅[AWS 托管策略:Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2026 年 3 月 23 日 |
| 亚马逊 EVSService RolePolicy -政策已更新 | Amazon EVS 更新了政策,增加了全面的资源管理功能,包括 EC2 实例管理、EBS 卷操作和 S AWS ecrets Manager 集成。要了解更多信息,请参阅[AWS 托管策略:Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2025 年 8 月 14 日 |
| 亚马逊 EVSService RolePolicy -政策已更新 | Amazon EVS 更新了政策,允许该服务删除 EVS VLAN 子网,并将亚马逊 EVS 使用率指标发布到。 CloudWatch要了解更多信息,请参阅[AWS 托管策略:Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2025 年 7 月 14 日 |
| 亚马逊 EVSService RolePolicy — 新增政策 | Amazon EVS 添加了一项新政策,允许该服务连接到客户账户中的 VPC 子网。此连接是服务功能所必需的。要了解更多信息,请参阅[AWS 托管策略:Amazon EVSService RolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2025 年 6 月 9 日 |
| 亚马逊 EVS 开始追踪变更 | Amazon EVS 开始跟踪其 AWS 托管政策的变更。 | 2025 年 6 月 9 日 |