# AWS Global Accelerator的服务相关角色
AWS Global Accelerator 使用 AWS Identity and Access Management(IAM)[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Global Accelerator 直接相关。服务相关角色是由 Global Accelerator 预定义的,包含该服务代表您调用其它 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置 Global Accelerator,因为您不必手动添加必要的权限。Global Accelerator 定义其服务相关角色的权限,除非另外定义,否则只有 Global Accelerator 可以代入其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。
只有在首先删除服务相关角色的相关资源后,才能删除该角色。这将保护您的 Global Accelerator 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-linked role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务相关角色文档。
## Global Accelerator 的服务相关角色权限
AWS Global Accelerator 使用名为 **AWSServiceRoleForGlobalAccelerator** 的服务相关角色。此角色允许 Global Accelerator 访问您账户中的资源,例如负载均衡器和其它端点,以帮助确保您只能添加配置为与 Global Accelerator 配合使用的资源。AWSServiceRoleForGlobalAccelerator 角色还允许 Global Accelerator 创建和管理客户端 IP 地址保留所需的资源。
当首次需要该角色来支持 Global Accelerator API 操作时,Global Accelerator 会自动创建名为 AWSServiceRoleForGlobalAccelerator 的角色。在 Global Accelerator 中使用加速器需要此角色。AWSServiceRoleForGlobalAccelerator 角色的 ARN 与以下内容类似:
`arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator`
### 服务相关角色权限
Global Accelerator 使用名为 **AWSServiceRoleForGlobalAccelerator** 的服务相关角色来访问资源和配置以检查准备情况。此服务相关角色使用托管策略 `AWSGlobalAcceleratorSLRPolicy`。
AWSServiceRoleForGlobalAccelerator 服务相关角色信任以下服务来代入该角色:
+ `globalaccelerator.amazonaws.com`
要查看此策略的权限,请参阅《AWS 托管策略参考》**中的 [AWSGlobalAcceleratorSLRPolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSGlobalAcceleratorSLRPolicy.html)。
您必须配置权限以允许 IAM 实体(如用户、组或角色)删除 Global Accelerator 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Global Accelerator 的服务相关角色
不要手动创建 Global Accelerator 的服务相关角色。在首次创建加速器时,该服务会自动为您创建角色。如果移除 Global Accelerator 资源并删除服务相关角色,则在创建新加速器时,该服务会自动重新创建该角色。
## 编辑 Global Acelerator 服务相关角色
Global Accelerator 不允许您编辑 AWSServiceRoleForGlobalAccelerator 服务相关角色。在该服务创建服务相关角色后,您无法更改该角色的名称,因为不同的实体可能会引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 *IAM 用户指南* 中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Global Acelerator 服务相关角色
如果不再需要使用 Global Accelerator,建议删除服务相关角色。这样,就不会主动监控或维护您的未使用实体。但是,您必须先清除账户中的 Global Accelerator 资源,然后才能手动删除角色。
禁用并删除加速器后,您可以删除服务相关角色。有关删除加速器的更多信息,请参阅[创建加速器](about-accelerators.creating-editing.md)。
**注意**
如果您已禁用并删除加速器,但 Global Accelerator 尚未完成更新,删除服务相关角色可能会失败。如果发生这种情况,请等待几分钟,然后重试服务相关角色删除步骤。
**要手动删除 AWSServiceRoleForGlobalAccelerator 服务相关角色,请执行以下操作**
1. 登录 AWS 管理控制台,打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的导航窗格中,选择**角色**。然后,选中要删除的角色名称旁边的复选框,而不是名称或行本身。
1. 对于页面顶部的**角色操作**,请选择**删除角色**。
1. 在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问AWS服务的时间。这样可帮助您确认角色当前是否处于活动状态。如果要继续,请选择 **Yes, Delete ** 以提交服务相关角色进行删除。
1. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色删除是异步的,因此,在您提交角色进行删除后,删除任务可能成功,也可能失败。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Global Accelerator 服务相关角色的策略更新
有关 `AWSGlobalAcceleratorSLRPolicy`(即 Global Accelerator 服务相关角色的 AWS 托管策略)的更新,请参阅 [AWS 托管策略更新表](security-iam-awsmanpol-aga.md#security-iam-awsmanpol-globalaccelerator-updates)。您也可以在 AWS Global Accelerator [文档历史记录](WhatsNew.md)页面上订阅自动 RSS 提醒。