将服务相关角色用于 Site-to-Site VPN
AWS Site-to-Site VPN 使用 AWS Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Site-to-Site VPN 直接相关。服务相关角色由 Site-to-Site VPN 预定义,并包含服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置 Site-to-Site VPN,因为您不必手动添加必要的权限。Site-to-Site VPN 定义其服务相关角色的权限,除非另外定义,否则只有 Site-to-Site VPN 可以代入该角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务相关角色。这将保护您的 Site-to-Site VPN 资源,因为您不会无意中删除对资源的访问权限。
Site-to-Site VPN 的服务相关角色权限
Site-to-Site VPN 使用名为 AWSServiceRoleForVPCS2SVPN 的服务相关角色 – 允许 Site-to-Site VPN 创建和管理与您的 VPN 连接相关的资源。
AWSServiceRoleForVPCS2SVPN 服务相关角色信任以下服务以代入该角色:
-
s2svpn.amazonaws.com
此服务相关角色使用托管策略 AWSVPCS2SVpnServiceRolePolicy 对指定资源完成以下操作:
-
针对 VPN 连接使用证书身份验证时,AWS Site-to-Site VPN 导出 VPN 隧道 AWS Certificate Manager 证书以在 VPN 隧道端点上使用。
-
针对 VPN 连接使用证书身份验证时,AWS Site-to-Site VPN 管理 VPN 隧道 AWS Certificate Manager 证书的续订。
-
针对 VPN 连接使用 SecretsManager 预共享密钥时,AWS Site-to-Site VPN 管理 VPN 连接的 AWS Secrets Manager s2svpn 托管密钥。
要查看此策略的权限,请参阅 AWS 托管策略参考中的 AWSVPCS2SVpnServiceRolePolicy。
创建 Site-to-Site VPN 服务相关角色
您无需手动创建服务相关角色。当您在 AWS 管理控制台、AWS CLI 或 AWS API 中使用关联的 ACM 私有证书创建客户网关时,Site-to-Site VPN 会为您创建服务相关角色。
如果您删除该服务相关角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您使用关联的 ACM 私有证书创建客户网关时,Site-to-Site VPN 将再次为您创建服务相关角色。
编辑 Site-to-Site VPN 服务相关角色
Site-to-Site VPN 不允许您编辑 AWSServiceRoleForVPCS2SVPN 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色描述。
删除 Site-to-Site VPN 服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
注意
如果在您试图删除资源时 Site-to-Site VPN 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
删除 AWSServiceRoleForVPCS2SVPN 使用的 Site-to-Site VPN 资源
只有在删除具有关联 ACM 私有证书的所有客户网关之后,您才能删除此服务相关角色。这可确保您不会无意中删除访问 Site-to-Site VPN 连接所使用 ACM 证书的权限。
使用 IAM 手动删除服务相关角色
使用 IAM 控制台、AWS CLI 或 AWS API 删除 AWSServiceRoleForVPCS2SVPN 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色。
