本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用 DevOps Guru 的服務連結角色
Amazon DevOps Guru 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 DevOps Guru 的唯一 IAM 角色類型。服務連結角色是由 DevOps Guru 預先定義,並包含服務代表您呼叫 AWS CloudTrail、Amazon CloudWatch AWS CodeDeploy、 AWS X-Ray、 和 AWS Organizations 所需的所有許可。
服務連結角色可讓您更輕鬆地設定 DevOps Guru,因為您不必手動新增必要的許可。DevOps Guru 定義其服務連結角色的許可,除非另有定義,否則只有 DevOps Guru 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 DevOps Guru 資源,因為您不會不小心移除存取資源的許可。
DevOps Guru 的服務連結角色許可
DevOps Guru 使用名為 的服務連結角色AWSServiceRoleForDevOpsGuru。這是 AWS 受管政策,具有 DevOps Guru 在您的 帳戶中執行所需的範圍許可。
AWSServiceRoleForDevOpsGuru 服務連結角色信任下列服務來擔任此角色:
-
devops-guru.amazonaws.com
角色許可政策AmazonDevOpsGuruServiceRolePolicy允許 DevOps Guru 對指定的資源完成下列動作。
為 DevOps Guru 建立服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中建立洞見時,DevOps Guru 會為您建立服務連結角色。
重要
如果您在另一個使用此角色支援之功能的 服務中完成動作,則此服務連結角色會出現在您的帳戶中;例如,如果您從 將 DevOps Guru 新增至儲存庫,則它可能會顯示 AWS CodeCommit。
編輯 DevOps Guru 的服務連結角色
DevOps Guru 不允許您編輯AWSServiceRoleForDevOpsGuru服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色。
刪除 DevOps Guru 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。不過,您必須先取消與所有儲存庫的關聯,才能手動將其刪除。
注意
如果您嘗試刪除資源時 DevOps Guru 服務正在使用 角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
使用 IAM 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除AWSServiceRoleForDevOpsGuru服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
