在 Aurora DSQL 中使用服務連結角色 - Amazon Aurora DSQL

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Aurora DSQL 中使用服務連結角色

Aurora DSQL 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 Aurora DSQL 的唯一 IAM 角色類型。服務連結角色由 Aurora DSQL 預先定義,並包含服務 AWS 服務 代表 Aurora DSQL 叢集呼叫 所需的所有許可。

服務連結角色可讓您更輕鬆地設定程序,因為您不必手動新增使用 Aurora DSQL 的必要許可。當您建立叢集時,Aurora DSQL 會自動為您建立服務連結角色。只有在刪除所有叢集之後,您才能刪除服務連結角色。這可保護您的 Aurora DSQL 資源,因為您不會不小心移除存取資源所需的許可。

如需關於支援服務連結角色的其他服務資訊,請參閱可搭配 IAM 運作的AWS 服務,尋找 Service-Linked Role (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

服務連結角色適用於所有支援的 Aurora DSQL 區域。

Aurora DSQL 的服務連結角色許可

Aurora DSQL 使用名為 的服務連結角色 AWSServiceRoleForAuroraDsql – 允許 Amazon Aurora DSQL 代表您建立和管理 AWS 資源。此服務連結角色會連接至下列受管政策:AuroraDsqlServiceLinkedRolePolicy

注意

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。您可能會遇到下列錯誤訊息:You don't have the permissions to create an Amazon Aurora DSQL service-linked role。如果您看到此訊息,請確認您已啟用以下許可:

{ "Sid" : "CreateDsqlServiceLinkedRole", "Effect" : "Allow", "Action" : "iam:CreateServiceLinkedRole", "Resource" : "*", "Condition" : { "StringEquals" : { "iam:AWSServiceName" : "dsql.amazonaws.com" } } }

如需詳細資訊,請參閱服務連結角色許可

建立服務連結角色

您不需要手動建立 AuroraDSQLServiceLinkedRolePolicy 服務連結角色。Aurora DSQL 會為您建立服務連結角色。如果已從您的帳戶刪除 AuroraDSQLServiceLinkedRolePolicy 服務連結角色,Aurora DSQL 會在您建立新的 Aurora DSQL 叢集時建立角色。

編輯服務連結角色

Aurora DSQL 不允許您編輯 AuroraDSQLServiceLinkedRolePolicy 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。不過,您可以使用 IAM 主控台、 AWS Command Line Interface (AWS CLI) 或 IAM API 編輯角色的描述。

刪除服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。

您必須先刪除帳戶中的任何叢集,才能刪除 帳戶的服務連結角色。

您可以使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的建立服務連結角色

Aurora DSQL 服務連結角色支援的區域

Aurora DSQL 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱AWS 區域與端點