本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 的服務連結角色 AWS Identity and Access Management Access Analyzer
AWS Identity and Access Management Access Analyzer 使用 IAM [ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 IAM Access Analyzer 的一種特殊 IAM 角色類型。服務連結角色由 IAM Access Analyzer 預先定義,並包含該功能代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓設定 IAM Access Analyzer 更為簡單,因為您不必手動新增必要的許可。IAM Access Analyzer 會定義其服務連結角色的許可,除非另有定義,否則僅有 IAM Access Analyzer 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## 的服務連結角色許可 AWS Identity and Access Management Access Analyzer
AWS Identity and Access Management Access Analyzer 使用名為 **AWSServiceRoleForAccessAnalyzer** 的服務連結角色 – 允許 Access Analyzer 分析外部存取的資源中繼資料,並分析活動以識別未使用的存取。
AWSServiceRoleForAccessAnalyzer 服務連結角色信任下列服務擔任該角色:
+ `access-analyzer.amazonaws.com`
名為 [`AccessAnalyzerServiceRolePolicy`](security-iam-awsmanpol.md#security-iam-aa-service-role-policy) 的角色許可政策允許 IAM Access Analyzer 對特定資源完成動作。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 IAM Access Analyzer 的服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台 或 AWS API 中啟用 Access Analyzer 時,IAM Access Analyzer 會為您建立服務連結角色。您啟用 IAM Access Analyzer 的所有區域中都會使用相同的服務連結角色。外部存取和未使用的存取權調查結果都使用相同的服務連結角色。
**注意**
IAM Access Analyzer 是區域性的。您必須在每個區域中個別啟用 IAM Access Analyzer。
如果您刪除此服務連結角色,在下一次建立分析器時,IAM Access Analyzer 會重新建立角色。
您也可以使用 IAM 主控台透過 **Access Analyzer** 使用案例以建立一個服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`access-analyzer.amazonaws.com`服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 IAM Access Analyzer 的服務連結角色
IAM Access Analyzer 不允許您編輯 AWSServiceRoleForAccessAnalyzer 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 IAM Access Analyzer 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
如果在您的一或多個區域中啟用 IAM Access Analyzer AWS Organizations,您必須先刪除組織所有區域中的所有分析器,然後再嘗試刪除此角色。
**注意**
如果 IAM Access Analyzer 在您試圖刪除資源時正在使用該角色,刪除動作可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForAccessAnalyzer 角色使用的 IAM Access Analyzer 資源**
1. 前往網址 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 **Access reports (存取報告)** 區段的 **Access analyzer (存取分析器)** 底下,選擇 **Analyzers (分析器)**。
1. 選擇要從中刪除連接至服務連結角色之 IAM Access Analyzer 資源的分析器。
1. 選擇 **刪除**。
1. 若要確認您要刪除分析器,請輸入 **delete**,然後選擇 **Delete (刪除)**。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAccessAnalyzer 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## IAM Access Analyzer 服務連結角色的支援區域
IAM Access Analyzer 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。