本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 Amazon Lightsail 的服務連結角色
<a name="amazon-lightsail-using-service-linked-roles"></a>

Amazon Lightsail use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Amazon Lightsail 的一種特殊 IAM 角色類型。服務連結角色由 預先定義，Amazon Lightsail並包含代表您呼叫其他 AWS 服務Lightsail所需的所有許可。

服務連結的角色可讓設定 Amazon Lightsail 更為簡單，因為您不必手動新增必要的許可。Amazon Lightsail​ 定義其服務連結角色的許可，除非另有定義，否則僅有 Amazon Lightsail 可以擔任其角色。定義的許可包含信任政策和許可政策，這些政策不能附接至任何其他 IAM 實體。

您必須先刪除服務連結角色的相關資源，才能將其刪除。如此可保護您 Amazon Lightsail 的資源，避免您不小心移除資源的存取許可。

如需支援服務連結角色其他服務的資訊，請參閱[可搭配 IAM 運作的 AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並尋找 **Service-Linked Role** (服務連結角色) 欄顯示 **Yes** (是) 的服務。選擇具有連結的 **Yes** (是)，以檢視該服務的服務連結角色文件。

## Amazon Lightsail 服務連結角色許可
<a name="slr-permissions"></a>

Amazon Lightsail 使用名為 **AWSServiceRoleForLightsail** 的服務連結角色 – 將Lightsail執行個體和區塊儲存磁碟快照匯出至 Amazon Elastic Compute Cloud (Amazon EC2)，以及從 Amazon Simple Storage Service (Amazon S3) 取得目前帳戶層級封鎖公開存取組態的角色。

AWSServiceRoleForLightsail 服務連結角色信任下列服務擔任該角色：
+ `lightsail.amazonaws.com`

此角色許可政策允許 Amazon Lightsail 對指定資源完成下列動作：
+ 動作：在所有 AWS 資源`ec2:CopySnapshot`上。
+ 動作：在所有 AWS 資源`ec2:DescribeSnapshots`上。
+ 動作：在所有 AWS 資源`ec2:CopyImage`上。
+ 動作：在所有 AWS 資源`ec2:DescribeImages`上。
+ 動作：在所有 AWS CloudFormation 堆疊`cloudformation:DescribeStacks`上。
+ 動作：在所有 AWS 資源`s3:GetAccountPublicAccessBlock`上。

### 服務連結角色許可
<a name="service-linked-role-permissions"></a>

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立或編輯服務連結角色的說明。

**允許 IAM 實體建立特定服務連結角色**

將下列政策新增至需要建立服務連結角色的 IAM 實體。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
        }
    ]
}
```

------

**若要允許 IAM 實體建立任何服務連結角色**

將下列陳述式新增至需要建立服務連結角色的 IAM 實體的許可政策，或包含所需政策的任何服務角色。此政策會見政策連接至角色。

```
{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

**若要允許 IAM 實體編輯任何服務連結角色的說明**

將下列陳述式新增至需要編輯服務連結角色說明或任何服務角色的 IAM 實體的許可政策。

```
{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

**若要允許 IAM 實體刪除特定服務連結角色**

將下列陳述式新增至需要刪除服務連結角色的 IAM 實體的許可政策。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
```

**允許 IAM 實體刪除任何服務角色**

將下列陳述式新增至需要刪除服務連結角色或任何服務角色的 IAM 實體的許可政策。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

或者，您可以使用 AWS 受管政策來提供 服務的完整存取權。

## 建立 的服務連結角色Amazon Lightsail
<a name="create-slr"></a>

您不需要手動建立服務連結角色，當您將Lightsail執行個體或區塊儲存磁碟快照匯出至 Amazon EC2，或在 AWS AWS 管理主控台、 或 AWS API 中建立 AWS CLI或更新儲存Lightsail貯體時， 會為您Amazon Lightsail建立服務連結角色。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您將 Lightsail 執行個體或區塊儲存磁碟快照匯出至 Amazon EC2，或建立或更新 Lightsail 儲存貯體時，Amazon Lightsail 會為您建立服務連結角色。

**重要**  
您必須設定 IAM 許可以允許 Amazon Lightsail 建立服務連結的角色。若要這樣做，請完成*服務連結角色許可*區段中的步驟。

## 為 Amazon Lightsail 編輯服務連結角色
<a name="edit-slr"></a>

Amazon Lightsail 不允許您編輯 AWSServiceRoleForLightsail 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 Amazon Lightsail 的服務連結角色
<a name="delete-slr"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。不過，您必須先確認沒有Amazon Lightsail執行個體或磁碟快照處於待定的複製狀態，才能刪除 AWSServiceRoleForLightsail 服務連結角色。如需詳細資訊，請參閱[將快照匯出至 Amazon EC2](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md)。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForLightsail 服務連結角色。如需詳細資訊，請參閱*《IAM 使用者指南》*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## Amazon Lightsail 服務連結角色的支援區域
<a name="slr-regions"></a>

Amazon Lightsail 支援在所有提供服務的區域中使用服務連結角色。如需有關可使用 Lightsail 之區域的詳細資訊，請參閱 [Amazon Lightsail 區域](https://docs.aws.amazon.com/general/latest/gr/rande.html#lightsail_region)。