本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 網路監視器的服務連結角色
<a name="using-service-linked-roles-CWIM"></a>

網路監視器使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至網路監視器的一種特殊 IAM 角色類型。網路監視器會預先定義服務連結角色，並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

網路監視器會定義此服務連結角色的許可，除非另外定義，否則只有網路監視器才能擔任此角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除與角色相關的資源，才能刪除角色。此限制可保護您的網路監視器資源，避免您不小心移除資源的存取許可。

如需關於支援服務連結角色的其他服務的資訊，請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## 網路監視器的服務連結角色許可
<a name="service-linked-role-permissions-CWIM-AWSServiceRoleForInternetMonitor"></a>

網路監視器會使用命名為 **AWSServiceRoleForInternetMonitor** 的服務連結角色。此角色可讓網路監視器存取帳戶中的資源 (例如 Amazon Virtual Private Cloud 資源、Amazon CloudFront 分佈、Amazon WorkSpaces 目錄及 Network Load Balancer)，以便您在建立監視器時選取。

此服務連結角色使用受管政策 `CloudWatchInternetMonitorServiceRolePolicy`。

**AWSServiceRoleForInternetMonitor** 服務連結角色會信任下列服務來擔任此角色：
+ `internetmonitor.amazonaws.com`

若要檢視此政策的許可，請參閱《AWS 受管政策參考》**中的 [CloudWatchInternetMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchInternetMonitorServiceRolePolicy.html)。

## 建立網路監視器的服務連結角色
<a name="create-service-linked-role-CWIM"></a>

您不需要為網路監視器手動建立服務連結角色。您第一次建立監控時，網路監視器就會為您建立 **AWSServiceRoleForInternetMonitor**。

如需詳細資訊，請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。

## 編輯網路監視器的服務連結角色
<a name="edit-service-linked-role-CWIM"></a>

網路監視器在帳戶中建立服務連接角色後，您就無法再變更角色名稱，因為有各種實體可能會參考該服務連結角色。您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除網路監視器的服務連結角色
<a name="delete-service-linked-role-CWIM"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。然而，在手動刪除服務連結角色之前，您必須先清除服務連結角色的資源。

在網路監視器中從監視器中刪除資源並刪除監視器後，您可以刪除服務連結角色 **AWSServiceRoleForInternetMonitor**。

**注意**  
若網路監視器服務正在使用您試圖刪除的角色，刪除可能會失敗。若發生此情況，請等待數分鐘後並再次嘗試。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForInternetMonitor** 服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 網路監視器服務連接角色更新
<a name="security-iam-awsmanpol-updates-cwim"></a>

如需網路監視器服務連結角色的 AWS 受管政策 **AWSServiceRoleForInternetMonitor** 的更新，請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒，請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。