本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 的服務連結角色
<a name="using-service-linked-roles"></a>

AWS Global Accelerator 使用 AWS Identity and Access Management (IAM)[服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至服務的一種特殊 IAM 角色類型。服務連結角色由服務預先定義，並包含該服務在代表您呼叫其他 AWS 服務時，需要用到的所有權限。

全域加速器使用以下 IAM 服務連結角色：
+ **全球加速器的 AWS 服務**— 全域加速器使用此角色來允許全域加速器建立及管理用戶端 IP 位址保留所需的資源。

當第一次需要此角色才能支援全域加速器 API 作業時，全域加速器會自動建立名為 AWsServices 為全域加速器的角色。「AWsServices 全域加速器」角色可讓「全域加速器」建立和管理用戶端 IP 位址保留所需的資源。在全域加速器中使用加速器時，需要此角色。AWSServiceRoleFor全球加速工具角色的 ARN 看起來類似如下：

`arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator`

服務連結角色可讓設定及使用全球加速器變得更輕鬆，因為您不必手動新增必要的許可。全球加速器會定義其服務連結角色的許可，且唯有全球加速器可以擔任此角色。已定義的許可包括信任政策和許可政策。許可原則無法附加到其他任何 IAM 實體。

您必須移除任何關聯的全域加速器資源，才能刪除服務連結角色。這有助於保護您的全域加速器資源，確保您不會移除在存取作用中資源時仍有需要的服務連結角色。

如需支援服務連結角色之其他服務的資訊，請參閱[與 IAM 搭配使用的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)並尋找有**是**中的**服務連結角色**資料行。

## 的服務連結角色許可
<a name="slr-permissions"></a>

全域加速器使用名為的服務連結角色**全球加速器的 AWS 服務**。下列小節說明角色的許可。

### 服務連結角色許可
<a name="slr-permissions-aga"></a>

此服務連結的角色可讓全域加速器管理 EC2 彈性網路介面和安全性群組，並協助診斷錯誤。

針對 AWSServiceRoleForCloForCloForCollControlForCloForCollControlForCollControlForCloForCloForClo
+ `globalaccelerator.amazonaws.com`

此角色許可政策允許全球加速器對指定資源完成下列動作，如政策所示：

```
{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateNetworkInterface",
                "ec2:DescribeNetworkInterfaces",
                "ec2:DescribeInstances",
                "ec2:DescribeInternetGateways",
                "ec2:DescribeSubnets",
                "ec2:DescribeRegions",
                "ec2:ModifyNetworkInterfaceAttribute",
                "ec2:DeleteNetworkInterface"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:DeleteSecurityGroup",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "ec2:ResourceTag/AWSServiceName": "GlobalAccelerator"
                }
            }
        },
        {
            "Effect": "Allow",
            "Action": [
                "ec2:CreateSecurityGroup",
                "ec2:DescribeSecurityGroups"
            ],
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "elasticloadbalancing:DescribeLoadBalancers",
            "Resource": "*"
        },
        {
            "Effect": "Allow",
            "Action": "ec2:CreateTags",
            "Resource": [
                "arn:aws:ec2:*:*:security-group/*",
                "arn:aws:ec2:*:*:network-interface/*"
            ]
        }
    ]
}
```

您必須設定許可，讓 IAM 實體 (如使用者、群組或角色) 刪除全球加速器服務連結角色。如需詳細資訊，請參閱「」[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)中的*IAM 使用者指南*。

## 為建立全域加速器建立服務連結角色
<a name="create-slr"></a>

您不需要手動建立全域加速工具的服務連結角色。服務會在您第一次建立加速器時，自動為您建立角色。若您移除全域加速器資源並刪除服務連結角色，則當您建立新的加速器時，服務將會自動重新建立角色。

## 編輯全域加速器服務連結角色
<a name="edit-slr"></a>

全域加速器不允許您編輯 AWSServiceRoleFor全域加速器服務連結角色。在此服務建立服務連結角色之後，您將無法變更該角色的名稱，因為各種實體皆可能會參考該角色。然而，您可使用 IAM 編輯角色的描述。如需詳細資訊，請參閱 [IAM 使用者指南](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)中的*編輯服務連結角色*。

## 刪除全域加速器服務連結角色
<a name="delete-slr"></a>

如果您不再需要使用全域加速器，建議您刪除服務連結角色。如此一來，您就沒有非主動監控或維護的未使用實體。然而，您必須先清除您帳戶中的全球加速器資源，然後才能手動刪除這些角色。

停用並刪除您的加速程式後，您可以刪除服務連結角色。如需有關刪除加速器的詳細資訊，請參閱[建立或更新標準加速器](about-accelerators.creating-editing.md)。

**注意**  
如果您已停用並刪除加速器，但是全球加速器未完成更新，則刪除服務連結角色的動作可能會失敗。如果發生此情況，請等候數分鐘，然後再次嘗試服務連結角色刪除步驟。

**手動刪除 AWSServiceRoleFor全球加速工具服務連結角色**

1. 登入 AWS 管理主控台，然後前往 [https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選擇 **Roles (角色)**。然後，選擇您要刪除的角色名稱旁的核取方塊，而非名稱或資料列本身。

1. 在頁面頂端的 **Role (角色)** 動作中選擇 **Delete (刪除)** 角色。

1. 在確認對話方塊中，檢閱服務上次存取資料，以顯示每個所選取角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。如果您想要繼續進行，請選擇 **Yes, Delete (是，刪除)** 來提交服務連結角色以進行刪除。

1. 查看 IAM 主控台通知，監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步，所以在您提交角色進行刪除之後，刪除任務可能會成功或失敗。如需詳細資訊，請參閱「」[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)中的*IAM 使用者指南*。

## 全球加速器服務連結角色 (AWS 受管政策) 的更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤這些變更後，服務連結角色更新的詳細資料。如需有關此頁面變更的自動警示，請在 AWS Global Accelerator 上訂閱 RSS 摘要[文件歷史記錄](WhatsNew.md)(憑證已建立！) 頁面上的名稱有些許差異。


| 變更 | 描述 | 日期 | 
| --- | --- | --- | 
|  [全球加速器的 AWS 服務](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/AWSServiceRoleForGlobalAccelerator)— 已更新政策 | 全域加速器新增了新的權限，以協助全域加速器診斷錯誤。<br />Global Accelerator`ec2:DescribeRegions`以判斷客戶所在的 AWS 區域，這可協助全球加速器疑難排解錯誤。 | 2021 年 5 月 18 日 | 
| 全球加速器開始追蹤變更 | 全球加速器開始追蹤其 AWS 受管政策的變更。 | 2021 年 5 月 18 日 | 

## 全域加速器服務連結角色的支援區域
<a name="slr-regions"></a>

全球加速器支援在支援全球加速器的 AWS 區域中，使用服務連結角色。

如需目前支援全球加速器和其他服務的 AWS 區域清單，請參閱[AWS 區域表格](https://aws.amazon.com/about-aws/global-infrastructure/regional-product-services/)。