使用 VPC 的服务相关角色
Amazon VPC 使用 AWS Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,与 VPC 直接相关。服务相关角色由 VPC 预定义,并包含服务代表您调用其他 AWS 服务所需的所有权限。
您可以使用服务相关角色轻松设置 VPC,因为您不必手动添加所需的权限。VPC 定义其服务相关角色的权限,除非另外定义,否则只有 VPC 可以代入其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这可以保护您的 VPC 资源,因为您不会无意中移除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 AWS 服务,并查找服务相关角色列中显示为是的服务。选择是和链接,查看该服务的服务关联角色文档。
VPC 的服务相关角色权限
VPC 使用名为 AWSServiceRoleForNATGateway 的服务相关角色:此服务相关角色使 Amazon VPC 能够代表您分配弹性 IP 地址以自动扩缩区域 NAT 网关、根据您的要求将现有弹性 IP 关联到区域 NAT 网关和取消关联,以及描述网络接口以识别您现有的基础设施以自动扩展到新可用区。
AWSServiceRoleForNATGateway 服务相关角色信任以下服务来代入该角色:
-
ec2-nat-gateway.amazonaws.com
名为 AWSNATGatewayServiceRolePolicy 的角色权限策略允许 VPC 对指定资源完成以下操作:
-
操作:在服务托管 EIP 上执行
AllocateAddress以代表您分配 EIP。服务托管 EIP 会自动使用服务托管标签和 ReleaseAddress 处理后续标记任务。 -
操作:在预先存在的弹性 IP 地址上执行
AssociateAddress,以根据您的要求将其手动关联到您的区域 NAT 网关。 -
操作:在预先存在的弹性 IP 地址上执行
DisassociateAddress,以根据您的要求将其从您的区域 NAT 网关中移除。 -
操作:执行
DescribeAddresses以在关联时从客户提供的 EIP 中获取公有 IP 地址信息。 -
操作:在您现有的网络接口上执行
DescribeNetworkInterface,以自动识别基础设施所在的可用区,从而自动扩展到新的可用区。
您必须配置使用户、组或角色能够创建、编辑或删除服务相关角色的权限。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限。
创建 VPC 的服务相关角色
您无需手动创建服务关联角色。当您通过 AWS 管理控制台、AWS CLI 或 AWS API 创建使用“区域”可用性模式的 NAT 网关时,VPC 会为您创建该服务相关角色。
重要
如果您在其他使用此角色支持的功能的服务中完成某个操作,此服务关联角色可以出现在您的账户中。此外,如果您在 2017 年 1 月 1 日(开始支持服务相关角色的日期)之前已使用 VPC 服务,则 VPC 已在您的账户中创建了 AWSServiceRoleForNATGateway 角色。要了解更多信息,请参阅我的 AWS 账户中出现新角色。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您创建使用“区域”可用性模式的 NAT 网关时,VPC 会再次为您创建该服务相关角色。
您还可以使用 IAM 控制台创建具有 AWSServiceRoleForNATGateway 使用案例的服务相关角色。在 AWS CLI 或 AWS API 中,使用 ec2-nat-gateway.amazonaws.com 服务名称创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的创建服务相关角色。如果您删除了此服务相关角色,可以使用同样的过程再次创建角色。
编辑 VPC 的服务相关角色
VPC 不允许您编辑 AWSServiceRoleForNATGateway 服务相关角色。创建服务关联角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务关联角色。
删除 VPC 的服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
注意
如果在您尝试删除资源时,VPC 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForNATGateway 使用的 VPC 资源
-
在所有已部署区域 NAT 网关的区域删除所有区域 NAT 网关。
使用 IAM 手动删除服务关联角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForNATGateway 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
支持 VPC 服务相关角色的区域
VPC 在提供该服务的所有区域均支持使用服务相关角色。有关更多信息,请参阅 AWS 区域和端点。
VPC 并非在提供该服务的每个区域都支持使用服务相关角色。您可以在以下区域中使用 AWSServiceRoleForNATGateway 角色。
| 区域名称 | 区域标识 | VPC 中的支持 |
|---|---|---|
| 美国东部(弗吉尼亚州北部) | us-east-1 | 是 |
| 美国东部(俄亥俄州) | us-east-2 | 是 |
| 美国西部(北加利福尼亚) | us-west-1 | 是 |
| 美国西部(俄勒冈州) | us-west-2 | 是 |
| 非洲(开普敦) | af-south-1 | 是 |
| 亚太地区(香港) | ap-east-1 | 是 |
| 亚太地区(台北) | ap-east-2 | 是 |
| 亚太地区(雅加达) | ap-southeast-3 | 是 |
| 亚太地区(孟买) | ap-south-1 | 是 |
| 亚太地区(海得拉巴) | ap-south-2 | 是 |
| 亚太地区(大阪) | ap-northeast-3 | 是 |
| 亚太地区(首尔) | ap-northeast-2 | 是 |
| 亚太地区(新加坡) | ap-southeast-1 | 是 |
| 亚太地区(悉尼) | ap-southeast-2 | 是 |
| 亚太地区(东京) | ap-northeast-1 | 是 |
| 亚太地区(墨尔本) | ap-southeast-4 | 是 |
| 亚太地区(马来西亚) | ap-southeast-5 | 是 |
| 亚太地区(新西兰) | ap-southeast-6 | 是 |
| 亚太地区(泰国) | ap-southeast-7 | 是 |
| 加拿大(中部) | ca-central-1 | 是 |
| 加拿大西部(卡尔加里) | ca-west-1 | 是 |
| 欧洲地区(法兰克福) | eu-central-1 | 是 |
| 欧洲(苏黎世) | eu-central-2 | 是 |
| 欧洲地区(爱尔兰) | eu-west-1 | 是 |
| 欧洲地区(伦敦) | eu-west-2 | 是 |
| 欧洲地区(米兰) | eu-south-1 | 是 |
| 欧洲(西班牙) | eu-south-2 | 是 |
| 欧洲地区(巴黎) | eu-west-3 | 是 |
| 欧洲地区(斯德哥尔摩) | eu-north-1 | 是 |
| 以色列(特拉维夫) | il-central-1 | 是 |
| 中东(巴林) | me-south-1 | 是 |
| 中东(阿联酋) | me-central-1 | 是 |
| 中东(沙特阿拉伯) | me-west-1 | 是 |
| 墨西哥(中部) | mx-central-1 | 是 |
| 南美洲(圣保罗) | sa-east-1 | 是 |
| AWS GovCloud(美国东部) | us-gov-east-1 | 否 |
| AWS GovCloud(美国西部) | us-gov-west-1 | 否 |
