本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
为 Site-to-Site VPN 使用服务相关角色
AWS Site-to-Site VPN 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接关联到 Site-to-Site VPN。服务相关角色由 Site-to-Site VPN 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色使设置 Site-to-Site VPN 变得更加容易,因为您不必手动添加必要的权限。 Site-to-SiteVPN 定义其服务相关角色的权限,除非另有定义,否则只有 Site-to-Site VPN 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务相关角色。这样可以保护您的 Site-to-Site VPN 资源,因为您不会无意中删除访问这些资源的权限。
VPN 的服务相关角色权限 Site-to-Site
Site-to-Site VPN 使用名为 AWSServiceRoleForVPCS2SVPN 的服务相关角色——允许 Site-to-Site VPN 创建和管理与您的 VPN 连接相关的资源。
S AWSService RoleFor VPCS2 VPN 服务相关角色信任以下服务来代入该角色:
-
s2svpn.amazonaws.com
此服务相关角色使用托管策略 AWSVPCS2SVpnServiceRolePolicy 对指定资源完成以下操作:
-
在 VPN 连接中使用证书身份验证时,请 AWS Site-to-Site VPN 导出 VPN 隧道 AWS Certificate Manager 证书以在 VPN 隧道端点上使用。
-
在 VPN 连接中使用证书身份验证时, AWS Site-to-Site VPN 管理 VPN 隧道 AWS Certificate Manager 证书的续订。
-
在 VPN 连接中使用 SecretsManager 预共享密钥存储时, AWS Site-to-Site VPN 管理 VPN 连接的 AWS Secrets Manager s2svpn 托管密钥。
要查看此策略的权限,请参阅《AWS 托管式策略参考》中的 AWSVPCS2SVpnServiceRolePolicy。
为 VPN 创建服务相关角色 Site-to-Site
您无需手动创建服务相关角色。当您在 AWS Management Console、或 AWS API 中创建带有关联的 ACM 私有证书的客户网关时 AWS CLI, Site-to-SiteVPN 会为您创建服务相关角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您使用关联的 ACM 私有证书创建客户网关时, Site-to-SiteVPN 会再次为您创建服务相关角色。
编辑 VPN 的服务相关角色 Site-to-Site
Site-to-Site VPN 不允许您编辑 AWSService RoleFor VPCS2 SVPN 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色描述。
删除 VPN 的服务相关角色 Site-to-Site
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
注意
如果您尝试删除资源时 Site-to-Site VPN 服务正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 S Site-to-Site VPN 使用的 AWSService RoleFor VPCS2 VPN 资源
只有在删除具有关联 ACM 私有证书的所有客户网关之后,您才能删除此服务相关角色。这样可以确保您不会无意中移除 VPN 连接正在使用的 ACM 证书的访问权限。 Site-to-Site
使用 IAM 手动删除服务相关角色
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSService RoleFor VPCS2 SVPN 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
