• AWS Systems Manager CloudWatch 控制面板在 2026 年 4 月 30 日之后将不再可用。客户可以像现在一样继续使用 Amazon CloudWatch 控制台来查看、创建和管理其 Amazon CloudWatch 控制面板。有关更多信息,请参阅 [Amazon CloudWatch 控制面板文档](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
# 将服务关联角色用于 Systems Manager
AWS Systems Manager 使用 AWS Identity and Access Management(IAM)[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Systems Manager 直接相关。服务相关角色由 Systems Manager 预定义,并包含相关服务代表您调用其他 AWS 服务所需的所有权限。
**注意**
*服务角色*不同于服务相关角色。服务角色是一种AWS Identity and Access Management(IAM)角色,用于向某个 AWS 服务授予相应的权限,以便该服务可以访问 AWS 资源。只有几个 Systems Manager 场景需要服务角色。当您创建 Systems Manager 的服务角色时,您可以选择要授予的权限,以便它可以访问其他 AWS 资源或与之交互。
服务相关角色使 Systems Manager 的设置更轻松,因为您不必手动添加必要的权限。Systems Manager 定义其服务相关角色的权限,除非另行定义,否则仅 Systems Manager 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这将保护您的 Systems Manager 资源,因为您不会无意中删除对资源的访问权限。
**注意**
对于[混合和多云](operating-systems-and-machine-types.md#supported-machine-types)环境中的非 EC2 节点,您需要额外的 IAM 角色来允许这些计算机与 Systems Manager 服务通信。这就是 Systems Manager 的 IAM 服务角色。此角色向 AWS Security Token Service (AWS STS) *AssumeRole* 授予对 Systems Manager 服务的信任。`AssumeRole` 操作返回一组临时安全凭证 (由访问密钥 ID、秘密访问密钥和安全令牌组成)。您使用这些临时凭证访问通常可能无法访问的 AWS 资源。有关更多信息,请参阅[《AWS Security Token Service API 参考》](https://docs.aws.amazon.com/STS/latest/APIReference/)**中的[在混合和多云环境中创建 Systems Manager 所需的 IAM 服务角色](hybrid-multicloud-service-role.md)和 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-linked roles**(服务相关角色)列中显示为 **Yes**(是)的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
**Topics**
+ [
# 使用角色来收集清单并查看 OpsData
](using-service-linked-roles-service-action-1.md)
+ [
# 使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息
](using-service-linked-roles-service-action-2.md)
+ [
# 使用角色为 Explorer 创建 OpsData 和 OpsItems
](using-service-linked-roles-service-action-3.md)
+ [
# 在 Systems Manager OpsCenter 中使用角色创建运营洞察 OpsItem
](using-service-linked-roles-service-action-4.md)
+ [
# 使用角色来维护已配置 Quick Setup 的资源运行状况和一致性
](using-service-linked-roles-service-action-5.md)
+ [
# 使用角色导出 Explorer OpsData
](using-service-linked-roles-service-action-6.md)
+ [
# 使用角色启用即时节点访问
](using-service-linked-roles-service-action-8.md)
+ [
# 使用角色发送即时节点访问请求通知
](using-service-linked-roles-service-action-9.md)
# 使用角色来收集清单并查看 OpsData
Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色代表您管理 AWS 资源。
## 清单、OpsData 和 OpsItem 的服务相关角色权限
`AWSServiceRoleForAmazonSSM` 服务相关角色仅信任 `ssm.amazonaws.com` 服务担任此角色。
您可以使用 Systems Manager 服务相关角色 `AWSServiceRoleForAmazonSSM` 执行以下操作:
+ Systems Manager Inventory 工具使用服务相关角色 `AWSServiceRoleForAmazonSSM` 从标签和资源组采集清单元数据。
+ Explorer 工具使用服务相关角色 `AWSServiceRoleForAmazonSSM` 来启用查看多个账户的 OpsData 和 OpsItems 的功能。当您将 Security Hub CSPM 启用为 Explorer 或 OpsCenter 的数据来源时,此服务相关角色还允许 Explorer 创建托管式规则。
**重要**
以前,Systems Manager 控制台允许您选择 AWS 托管式 IAM 服务相关角色 `AWSServiceRoleForAmazonSSM`,以用作任务的维护角色。现在不再建议将此角色及其相关策略 `AmazonSSMServiceRolePolicy` 用于维护时段任务。如果您目前在将此角色用于维护时段任务,我们建议您停止使用它。而应创建您自己的 IAM 角色,以便您的维护时段任务运行时在 Systems Manager 与其他 AWS 服务之间进行通信。
有关更多信息,请参阅 [设置 Maintenance Windows](setting-up-maintenance-windows.md)。
用于为 `AWSServiceRoleForAmazonSSM` 角色提供权限的托管策略是 `AmazonSSMServiceRolePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管式策略:AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)。
## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
您可以使用 IAM 控制台为 **EC2** 使用案例创建服务相关角色。在 AWS Command Line Interface (AWS CLI) 中使用 IAM 的命令或使用 IAM API,创建服务名称为 `ssm.amazonaws.com` 的服务相关角色。有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。您可以使用 IAM 控制台、AWS CLI 或 IAM API 手动删除此服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。
多项工具都可使用 `AWSServiceRoleForAmazonSSM` 服务相关角色,因此在尝试删除该角色之前,请确保没有任何工具在使用该角色。
+ **Inventory:**如果删除 Inventory 工具使用的服务相关角色,则标签和资源组的清单数据将不再同步。您必须先清除服务相关角色的资源,然后才能手动删除它。
+ **Explorer:**如果删除 Explorer 工具使用的服务相关角色,则无法再查看跨账户和跨区域的 OpsData 及 OpsItems。
**注意**
如果在您尝试删除标签或资源组时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 `AWSServiceRoleForAmazonSSM` 所用的 Systems Manager 资源**
1. 要删除标签,请参阅[为单个资源添加和删除标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 要删除资源组,请参阅[从 AWS Resource Groups 中删除组](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**使用 IAM 手动删除 `AWSServiceRoleForAmazonSSM` 服务相关角色**
使用 IAM 控制台、AWS CLI 或 IAM API 删除 `AWSServiceRoleForAmazonSSM` 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForAmazonSSM` 服务相关角色的区域
Systems Manager 支持提供该服务的所有 AWS 区域中使用 `AWSServiceRoleForAmazonSSM` 服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用角色为 OpsCenter 和 Explorer 收集 AWS 账户 信息
Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM_AccountDiscovery`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色调用其他 AWS 服务来发现 AWS 账户 信息。
## Systems Manager 账户发现的服务相关角色权限
`AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色信任以下服务代入该角色:
+ `accountdiscovery.ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
如果要跨多个 AWS 账户使用 Explorer 和 OpsCenter(都是 Systems Manager 中的工具),则必须创建服务相关角色。对于 OpsCenter,您必须手动创建服务相关角色。有关更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。
对于 Explorer,如果您使用 AWS 管理控制台 中的 Systems Manager 创建资源数据同步,则可以通过选择 **Create role**(创建角色)按钮创建服务相关角色。如果要以编程方式创建资源数据同步,则必须在创建资源数据同步之前创建角色。您可以使用 [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 操作创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
您必须首先删除所有 Explorer 资源数据同步,然后才能使用 IAM 删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
### 手动删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服务相关角色的区域
Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
## 对 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服务相关角色的更新
查看有关 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服务相关角色更新(从该服务开始跟踪这些变更开始)的详细信息。要获得有关此页面更改的自动提示,请订阅 Systems Manager [文档历史记录](systems-manager-release-history.md) 页面上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| 已添加新权限 | 此服务相关角色现在包括 `organizations:DescribeOrganizationalUnit` 和 `organizations:ListRoots` 权限。这些权限让 AWS Organizations 管理账户或 Systems Manager 委派管理员账户可以跨账户使用 OpsItems。有关更多信息,请参阅 [(可选)将 OpsCenter 手动设置为跨账户集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 | 2022 年 10 月 17 日 |
# 使用角色为 Explorer 创建 OpsData 和 OpsItems
Systems Manager 使用名为 **`AWSServiceRoleForSystemsManagerOpsDataSync`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色为 Explorer 创建 OpsData 及 OpsItems。
## Systems Manager OpsData 同步的服务相关角色权限
`AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色信任以下服务代入该角色:
+ `opsdatasync.ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ Systems Manager Explorer 需要使用服务相关角色授予相应的权限,以便在更新 OpsItem 时更新安全调查发现,创建和更新 OpsItem,以及在客户删除 SSM 托管式规则时关闭 Security Hub CSPM 数据来源。
用于为 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色提供权限的托管策略是 `AWSSystemsManagerOpsDataSyncServiceRolePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管式策略:AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色
您无需手动创建服务关联角色。当您在 AWS 管理控制台 中启用 Explorer 时,Systems Manager 将为您创建服务相关角色。
**重要**
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作,该角色可以显示在您的账户中。此外,如果您在 2017 年 1 月 1 日之前使用 Systems Manager 服务,当它开始支持服务相关角色时,则 Systems Manager 会在您的账户中创建 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您在 AWS 管理控制台 中启用 Explorer 时,Systems Manager 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台创建服务相关角色,用**允许 Explorer 创建 OpsData 和 OpsItems 的 AWS 服务角色**使用案例来进行创建。在 AWS CLI 或 AWS API 中,使用 `opsdatasync.ssm.amazonaws.com` 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色使用的 Systems Manager 资源的程序取决于您是否已将 Explorer 或 OpsCenter 配置为与 Security Hub CSPM 集成。
**要删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色使用的 Systems Manager 资源,请参阅以下信息:**
+ 要停止 Explorer 为 Security Hub CSPM 调查发现创建新的 OpsItems,请参阅 [如何停止接收结果](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)。
+ 要停止 OpsCenter 为 Security Hub CSPM 调查发现创建新的 OpsItems,请参阅
**使用 IAM 手动删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色**
使用 IAM 控制台,即 AWS CLI 或 AWS API 来删除 `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` 服务相关角色的区域
Systems Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
Systems Manager 并非在提供服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。
****
| AWS 区域 名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 在 Systems Manager OpsCenter 中使用角色创建运营洞察 OpsItem
Systems Manager 使用名为 **`AWSServiceRoleForAmazonSSM_OpsInsights`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色在 Systems Manager OpsCenter 中创建和更新运营洞察 OpsItem。
## Systems Manager 运营洞察 OpsItem 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色权限
`AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色信任以下服务代入该角色:
+ `opsinsights.ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
您必须创建服务相关角色。如果您在 AWS 管理控制台中使用 Systems Manager 启用运营洞察,则可以通过选择 **Enable (启用)** 按钮创建服务相关角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
必须首先在 Systems Manager OpsCenter 中停用运营洞察,才能使用 IAM 删除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色。有关更多信息,请参阅 [分析运营洞察以减少 OpsItems](OpsCenter-working-operational-insights.md)。
### 手动删除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` 服务相关角色的区域
Systems Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在下列区域使用 AWSServiceRoleForAmazonSSM\$1OpsInsights 角色。
****
| 区域名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(香港) | ap-east-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 欧洲地区(米兰) | eu-south-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| 中东(巴林) | me-south-1 | 是 |
| 非洲(开普敦) | af-south-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 是 |
| AWS GovCloud (US) | us-gov-east-1 | 是 |
# 使用角色来维护已配置 Quick Setup 的资源运行状况和一致性
Systems Manager 使用名为 **`AWSServiceRoleForSSMQuickSetup`** 的服务相关角色。
## Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色权限
`AWSServiceRoleForSSMQuickSetup` 服务相关角色信任以下服务代入该角色:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager 使用此 IAM 服务角色来检查配置运行状况,确保参数和已配置资源的一致使用,并在检测到偏差时修复资源。
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `ssm` (Systems Manager):读取有关已配置资源预期处于的状态的信息,包括在委派管理员账户中。
+ `iam` (AWS Identity and Access Management):这是为了在 AWS Organizations 中的整个组织都可访问资源数据同步所必需的。
+ `organizations`(AWS Organizations)– 读取属于组织的成员账户的信息,如“组织”中所配置。
+ `cloudformation`(CloudFormation)– 读取有关用于管理资源状态和 CloudFormation 堆栈集操作的 CloudFormation 堆栈的信息。
用于为 `AWSServiceRoleForSSMQuickSetup` 角色提供权限的托管策略是 `SSMQuickSetupRolePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管式策略:SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
您无需手动创建 AWSServiceRoleForSSMQuickSetup 服务相关角色。当您在 AWS 管理控制台 中创建 Quick Setup 配置时,Systems Manager 会为您创建服务相关角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSSMQuickSetup` 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能手动删除它。
### 清除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
在使用 IAM 删除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色之前,必须先删除使用该角色的 Quick Setup 配置。有关更多信息,请参阅 [编辑和删除配置](quick-setup-using.md#quick-setup-edit-delete)。
### 手动删除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 `AWSServiceRoleForSSMQuickSetup` 服务相关角色。有关更多信息,请参阅以下主题:
+ *《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
+ 《AWS CLI 参考》**的 Quick Setup 部分中的 [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html)
+ **《Quick Setup API 参考》中的 [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html)
## 支持 Systems Manager `AWSServiceRoleForSSMQuickSetup` 服务相关角色的区域
Systems Manager 并非在提供该服务的每个区域中都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForSSMQuickSetup 角色。
+ 美国东部(俄亥俄州)
+ 美国东部(弗吉尼亚州北部)
+ 美国西部(北加利福尼亚)
+ 美国西部(俄勒冈州)
+ 亚太地区(孟买)
+ 亚太地区(首尔)
+ 亚太地区(新加坡)
+ 亚太地区(悉尼)
+ 亚太地区(东京)
+ 加拿大(中部)
+ 欧洲地区(法兰克福)
+ 欧洲地区(斯德哥尔摩)
+ 欧洲地区(爱尔兰)
+ 欧洲地区(伦敦)
+ 欧洲(巴黎)
+ 南美洲(圣保罗)
# 使用角色导出 Explorer OpsData
AWS Systems Manager Explorer 使用 **AmazonsmExplorerExportRole** 服务角色,通过使用 `AWS-ExportOpsDataToS3` 自动化运行手册导出操作数据(opsData)。
## 的服务关联角色权限Explorer
`AmazonSSMExplorerExportRole` 服务相关角色仅信任 `ssm.amazonaws.com` 服务担任此角色。
您可以使用 `AmazonSSMExplorerExportRole` 服务相关角色,通过使用 `AWS-ExportOpsDataToS3` 自动化运行手册导出操作数据(opsData)。您可以从 Explorer 将 5000 个 OpsData 项目以逗号分隔值(.csv)文件的形式导出到 Amazon Simple Storage Service(Amazon S3)存储桶。
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AmazonSSMExplorerExportRole` 服务相关角色
当您在 Systems Manager 控制台中使用 Explorer 导出 OpsData 时,Systems Manager 会创建 `AmazonSSMExplorerExportRole` 服务相关角色。有关更多信息,请参阅 [从 Systems Manager Explorer 中导出 OpsData](Explorer-exporting-OpsData.md)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。
## 编辑 Systems Manager 的 `AmazonSSMExplorerExportRole` 服务相关角色
Systems Manager 不允许您编辑 `AmazonSSMExplorerExportRole` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AmazonSSMExplorerExportRole` 服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。您可以使用 IAM 控制台、AWS CLI 或 IAM API 手动删除此服务相关角色。为此,您必须先手动清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您尝试删除标签或资源组时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**删除 `AmazonSSMExplorerExportRole` 所用的 Systems Manager 资源**
1. 要删除标签,请参阅[为单个资源添加和删除标签](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 要删除资源组,请参阅[从 AWS Resource Groups 中删除组](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**使用 IAM 手动删除 `AmazonSSMExplorerExportRole` 服务相关角色**
使用 IAM 控制台、AWS CLI 或 IAM API 删除 `AmazonSSMExplorerExportRole` 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AmazonSSMExplorerExportRole` 服务相关角色的区域
Systems Manager 支持提供该服务的所有 AWS 区域中使用 `AmazonSSMExplorerExportRole` 服务相关角色。有关更多信息,请参阅 [AWS Systems Manager 终端节点和限额](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用角色启用即时节点访问
Systems Manager 使用名为 **`AWSServiceRoleForSystemsManagerJustInTimeAccess`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色启用即时节点访问。
## Systems Manager 即时节点访问的服务相关角色权限
`AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色信任以下服务代入该角色:
+ `ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
用于为 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色提供权限的托管策略是 `AWSSystemsManagerEnableJustInTimeAccessPolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管策略:AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
您无需手动创建服务关联角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 会为您创建服务相关角色。
**重要**
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作,该角色可以显示在您的账户中。此外,如果您在 2024 年 11 月 19 日之前使用 Systems Manager 服务,当它开始支持服务相关角色时,Systems Manager 会在您的账户中创建 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台来创建服务相关角色,**以便 AWS 服务角色允许 Systems Manager 启用即时节点访问。**应用场景。在 AWS CLI 或 AWS API 中,使用 `ssm.amazonaws.com` 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色**
使用 IAM 控制台,即 AWS CLI 或 AWS API 来删除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服务相关角色的区域
****
| AWS 区域 名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 使用角色发送即时节点访问请求通知
Systems Manager 使用名为 **`AWSServiceRoleForSystemsManagerNotifications`** 的服务相关角色。AWS Systems Manager 使用此 IAM 服务角色向访问请求审批者发送通知。
## Systems Manager 即时节点访问通知的服务相关角色权限
`AWSServiceRoleForSystemsManagerNotifications` 服务相关角色信任以下服务代入该角色:
+ `ssm.amazonaws.com`
角色权限策略允许 Systems Manager 对指定资源完成以下操作:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
用于为 `AWSServiceRoleForSystemsManagerNotifications` 角色提供权限的托管策略是 `AWSSystemsManagerNotificationsServicePolicy`。有关该策略授予的权限的详细信息,请参阅 [AWS 托管策略:AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 创建 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色
您无需手动创建服务关联角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 会为您创建服务相关角色。
**重要**
如果您在使用此服务相关角色支持的功能的其他服务中完成某个操作,该角色可以显示在您的账户中。此外,如果您在 2024 年 11 月 19 日之前使用 Systems Manager 服务,当它开始支持服务相关角色时,Systems Manager 会在您的账户中创建 `AWSServiceRoleForSystemsManagerNotifications` 角色。要了解更多信息,请参阅[我的 IAM 账户中出现新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。您在 AWS 管理控制台中启用即时节点访问时,Systems Manager 将再次为您创建服务相关角色。
您也可以使用 IAM 控制台来创建服务相关角色,**以便 AWS 服务角色允许 Systems Manager 向访问请求审批者发送通知。**应用场景。在 AWS CLI 或 AWS API 中,使用 `ssm.amazonaws.com` 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)**。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
## 编辑 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色
Systems Manager 不允许您编辑 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色
如果您不再需要使用某个需要服务相关角色的特征或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 Systems Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 手动删除 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色**
使用 IAM 控制台,即 AWS CLI 或 AWS API 来删除 `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色。有关更多信息,请参阅*《IAM 用户指南》*中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支持 Systems Manager `AWSServiceRoleForSystemsManagerNotifications` 服务相关角色的区域
****
| AWS 区域 名称 | 区域标识 | 在 Systems Manager 中支持 |
| --- | --- | --- |
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |