在 Aurora DSQL 中使用服務連結角色 - Amazon Aurora DSQL
Aurora DSQL 的服務連結角色許可權限建立服務連結角色編輯服務連結角色刪除服務連結角色Aurora DSQL 服務連結角色的支援區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

在 Aurora DSQL 中使用服務連結角色

Aurora DSQL 使用 AWS Identity and Access Management(IAM) 服務連結角色。服務連結角色是直接連結至 Aurora DSQL 的一種特殊 IAM 角色類型。服務連結角色由 Aurora DSQL 預先定義,並包含服務AWS 服務代表 Aurora DSQL 叢集呼叫 所需的所有許可。

服務連結角色可簡化設定流程,因為您不必手動新增必要的許可權限以使用 Aurora DSQL。您建立叢集時,Aurora DSQL 會自動為您建立服務連結角色。只有在刪除所有叢集後,您才可以刪除服務連結角色。這樣您就不會不小心移除存取資源所需的許可權限,以保護您的 Aurora DSQL 資源。

如需關於支援服務連結角色的其他服務資訊,請參閱可搭配 IAM 運作的 AWS 服務,尋找 Service-Linked Role (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

服務連結角色可在所有支援的 Aurora DSQL 區域中使用。

Aurora DSQL 的服務連結角色許可權限

Aurora DSQL 使用名為 的服務連結角色 AWSServiceRoleForAuroraDsql – 允許 Amazon Aurora DSQL 代表您建立和管理AWS資源。此服務連結角色連接至下列受管政策:AuroraDsqlServiceLinkedRolePolicy

注意

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。您可能會遇到下列錯誤訊息:You don't have the permissions to create an Amazon Aurora DSQL service-linked role。如果您看到此訊息,請確認您已啟用以下許可:

JSON
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Action": ["dsql:CreateCluster"], 
            "Resource": [
                "arn:aws:dsql:us-east-1:*:cluster/*",
                "arn:aws:dsql:us-east-2:*:cluster/*"
            ],
            "Effect": "Allow"
        }
    ]
}

如需更多資訊,請參閱服務連結角色許可權限

建立服務連結角色

您不需要手動建立 AuroraDSQLServiceLinkedRolePolicy 服務連結角色。Aurora DSQL 會為您建立服務連結角色。如果已從您的帳戶刪除 AuroraDSQLServiceLinkedRolePolicy 服務連結角色,Aurora DSQL 會在您建立新的 Aurora DSQL 叢集時建立角色。

編輯服務連結角色

Aurora DSQL 不允許您編輯 AuroraDSQLServiceLinkedRolePolicy 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。不過,您可以使用 IAM 主控台、 AWS Command Line Interface(AWS CLI) 或 IAM API 編輯角色的描述。

刪除服務連結角色

若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。

您必須先刪除帳戶中的任何叢集,才能刪除帳戶的服務連結角色。

您可以使用 IAM 主控台AWS CLI、 或 IAM API 來刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的建立服務連結角色

Aurora DSQL 服務連結角色的支援區域

Aurora DSQL 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱AWS區域與端點