本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# AWS Amazon EVS 的 受管政策
AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可,以便您可以開始將許可指派給使用者、群組和角色。
請記住, AWS 受管政策可能不會授予特定使用案例的最低權限許可,因為這些許可可供所有 AWS 客戶使用。我們建議您定義特定於使用案例的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies),以便進一步減少許可。
您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新 AWS 受管政策中定義的許可,則更新會影響政策連接的所有主體身分 (使用者、群組和角色)。當新的 AWS 服務 啟動或新的 API 操作可用於現有服務時, AWS 最有可能更新 AWS 受管政策。如需詳細資訊,請參閱* IAM 《 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 受管政策:AmazonEVSServiceRolePolicy
您不得將 `AmazonEVSServiceRolePolicy` 連接到 IAM 實體。此政策會連接到服務連結角色,允許 Amazon EVS 代表您執行動作。如需詳細資訊,請參閱[使用 Amazon EVS 的服務連結角色](using-service-linked-roles.md)。當您使用具有 `iam:CreateServiceLinkedRole`許可的 IAM 主體建立環境時,服務`AWSServiceRoleforAmazonEVS`連結角色會自動為您建立並連接此政策。
此政策允許`AWSServiceRoleForAmazonEVS`服務連結角色 AWS 服務 代表您呼叫 。
**許可詳細資訊**
此政策包含下列許可,允許 Amazon EVS 完成下列任務。
+ `ec2` - 探索 VPC 聯網元件,包括子網路和 VPCs。建立、修改、標記和刪除彈性網路介面,這些介面用於在您的 VPC 子網路中建立 Amazon EVS 和 VMware Virtual Cloud Foundation (VCF) SDDC Manager 設備之間的持久性連線。Amazon EVS 需要此連線才能部署、管理和監控 VCF 部署。
+ `ec2` - 刪除 Amazon EVS 在您提出 EVS 主機刪除請求時建立的 EC2 執行個體。描述和修改 EC2 執行個體屬性,以便在需要時停用預設 EC2 執行個體終止和停止保護,以支援 EVS 主機刪除。
+ `ec2` - 管理 Cloud Builder 安裝和清除的 EBS 磁碟區。在環境建立期間,Cloud Builder 會安裝在其中一個 Amazon EVS 部署的主機上,以執行 VCF 組態變更。完成後,Amazon EVS 會透過分離和刪除儲存所在的 EC2 磁碟區來移除 Cloud Builder。
+ `ec2` - 如果您請求刪除環境,請代表您刪除 EVS VLAN 子網路。
+ `secretsmanager` - 刪除 Amazon EVS 在環境建立期間在 AWS Secrets Manager 中建立和存放的 VCF 密碼。如果環境建立失敗或您請求刪除環境,Amazon EVS 會刪除服務在您帳戶中建立的所有秘密。當您透過提供 AWS 秘密 ARN 設定 vCenter 連接器時,從 Secrets Manager 擷取 vCenter 登入資料。許可的範圍具有資源標籤條件`EvsAccess=true`,以確保 Amazon EVS 僅存取明確標記用於 Amazon EVS vCenter 存取的秘密。
+ `kms` - 當存放在 Secrets Manager 中的 vCenter 登入資料使用 KMS 金鑰加密時,解密秘密並描述 KMS 金鑰。許可的範圍包含資源標籤條件`EvsAccess=true`,以確保 Amazon EVS 僅存取明確標記用於 vCenter 存取的 KMS 金鑰。
+ `cloudwatch` - 針對具有配額 CloudWatch 的 Amazon EVS 資源,將 AWS 用量指標發佈至 。
若要檢視政策的詳細資訊,包括最新版本的 JSON 政策文件,請參閱《 * AWS 受管政策參考指南*》中的 [AmazonEVSServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonEVSServiceRolePolicy.html)。
## AWS 受管政策的 Amazon EVS 更新
檢視自此服務開始追蹤 Amazon EVS AWS 受管政策更新以來的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 [Amazon Elastic VMware Service 使用者指南的文件歷史記錄](doc-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| AmazonEVSServiceRolePolicy — 政策已更新 | Amazon EVS 已更新政策,以允許服務從 AWS Secrets Manager 擷取 vCenter 憑證,並解密使用 KMS 金鑰加密的秘密。如需詳細資訊,請參閱 [AWS 受管政策:AmazonEVSServiceRolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2026 年 3 月 23 日 |
| AmazonEVSServiceRolePolicy — 政策已更新 | Amazon EVS 已更新政策,新增完整的資源管理功能,包括 EC2 執行個體管理、EBS 磁碟區操作和 AWS Secrets Manager 整合。如需詳細資訊,請參閱 [AWS 受管政策:AmazonEVSServiceRolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2025 年 8 月 14 日 |
| AmazonEVSServiceRolePolicy — 政策已更新 | Amazon EVS 已更新政策,以允許服務刪除 EVS VLAN 子網路,並將 Amazon EVS 用量指標發佈至其中 CloudWatch。如需詳細資訊,請參閱 [AWS 受管政策:AmazonEVSServiceRolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2025 年 7 月 14 日 |
| AmazonEVSServiceRolePolicy — 新增的政策 | Amazon EVS 新增了允許服務連線到客戶帳戶中 VPC 子網路的新政策。服務功能需要此連線。如需詳細資訊,請參閱 [AWS 受管政策:AmazonEVSServiceRolePolicy](#security-iam-awsmanpol-amazonevsservicerolepolicy)。 | 2025 年 6 月 9 日 |
| Amazon EVS 已開始追蹤變更 | Amazon EVS 開始追蹤其 AWS 受管政策的變更。 | 2025 年 6 月 9 日 |