本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 DevOpsGuru 的服務連結角色
Amazon DevOpsGuru 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 DevOpsGuru 的唯一 IAM 角色類型。服務連結角色由 DevOpsGuru 預先定義,並包含服務代表您呼叫 AWS CloudTrail、Amazon CloudWatch AWS CodeDeploy、 AWS X-Ray、 和 AWS Organizations 所需的所有許可。
服務連結角色可讓您更輕鬆地設定 DevOpsGuru,因為您不必手動新增必要的許可。DevOpsGuru 會定義其服務連結角色的許可,除非另有定義,否則只有 DevOpsGuru 才能擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 DevOpsGuru 資源,因為您不會不小心移除存取資源的許可。
DevOpsGuru 的服務連結角色許可
DevOpsGuru 使用名為 的服務連結角色AWSServiceRoleForDevOpsGuru。這是 AWS 受管政策,具有 DevOpsGuru 在您的帳戶中執行所需的範圍許可。
AWSServiceRoleForDevOpsGuru 服務連結角色信任下列服務來擔任此角色:
-
devops-guru.amazonaws.com
角色許可政策AmazonDevOpsGuruServiceRolePolicy允許 DevOpsGuru 對指定的資源完成下列動作。
為 DevOpsGuru 建立服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中建立洞見時,DevOps 會為您建立服務連結角色。
重要
如果您在使用此角色支援功能的其他服務中完成動作,則此服務連結角色會出現在您的帳戶中;例如,如果您從 將 DevOpsGuru 新增至儲存庫,則它可能會顯示 AWS CodeCommit。
編輯 DevOpsGuru 的服務連結角色
DevOpsGuru 不允許您編輯AWSServiceRoleForDevOpsGuru服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色。
刪除 DevOpsGuru 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。不過,您必須先取消與所有儲存庫的關聯,才能手動將其刪除。
注意
如果您嘗試刪除資源時 DevOpsGuru 服務正在使用 角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
使用 IAM 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除AWSServiceRoleForDevOpsGuru服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
