本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# AMS 中的基礎設施安全監控
<a name="acc-sec-infra-sec"></a>

當您加入 AMS Accelerate 時， AWS 部署下列 AWS Config 基準基礎設施和一組規則，AMS Accelerate 會使用這些規則來監控您的帳戶。
+ **AWS Config 服務連結角色**：AMS Accelerate 部署名為 **AWSServiceRoleForConfig** 的服務連結角色， AWS Config 供 用來查詢其他服務的狀態 AWS 。**AWSServiceRoleForConfig** 服務連結角色信任 AWS Config 服務擔任該角色。**AWSServiceRoleForConfig** 角色的許可政策包含 AWS Config 資源的唯讀和唯讀許可，以及 AWS Config 支援之其他服務中資源的唯讀許可。如果您已使用 AWS Config Recorder 設定角色，AMS Accelerate 會驗證現有角色是否已連接 AWS Config 受管政策。如果沒有，AMS Accelerate 會將角色取代為服務連結角色 **AWSServiceRoleForConfig**。
+ **AWS Config 記錄器和交付通道**： AWS Config 使用組態記錄器偵測資源組態中的變更，並將這些變更擷取為組態項目。AMS Accelerate 在所有服務中部署組態記錄器 AWS 區域，並持續記錄所有資源。AMS Accelerate 也會建立組態交付管道，即 Amazon S3 儲存貯體，用於記錄 AWS 資源中發生的變更。組態記錄器會透過交付管道更新組態狀態。需要組態記錄器和交付管道 AWS Config 才能運作。AMS Accelerate 會在所有 中建立記錄器 AWS 區域，並在單一 中建立交付管道 AWS 區域。如果您已在 中擁有記錄器和交付管道 AWS 區域，則 AMS Accelerate 不會刪除現有 AWS Config 資源，而是在驗證其已正確設定之後，AMS Accelerate 會使用您現有的記錄器和交付管道。如需如何降低成本的詳細資訊 AWS Config ，請參閱[降低 Accelerate 中的 AWS Config 成本](acc-sec-compliance.md#acc-sec-compliance-reduct-config-spend)。
+ **AWS Config 規則**：AMS Accelerate 會維護 AWS Config 規則 和 修補動作的程式庫，以協助您符合業界的安全性和操作完整性標準。 AWS Config 規則 會持續追蹤所記錄資源之間的組態變更。如果變更違反任何規則條件，AMS 會報告其調查結果，並允許您根據違規的嚴重性自動或透過請求修復違規。 可 AWS Config 規則 促進符合以下標準：網際網路安全中心 (CIS)、國家標準與技術研究所 (NIST) 雲端安全架構 (CSF)、健康保險流通與責任法案 (HIPAA) 和支付卡產業 (PCI) 資料安全標準 (DSS)。
+ **AWS Config 彙總工具授權**：彙總工具是一種 AWS Config 資源類型，可從多個帳戶和多個區域收集 AWS Config 組態和合規資料。AMS Accelerate 會將您的帳戶加入組態彙總器，AMS Accelerate 會從中彙總您帳戶的資源組態資訊和組態合規資料，並產生合規報告。如果在 AMS 擁有的帳戶中設定了現有的彙總工具，則 AMS Accelerate 會部署額外的彙總工具，而且不會修改現有的彙總工具。
**注意**  
您的帳戶中未設定 Config 彙總工具；而是在 AMS 擁有的帳戶中設定 （並且您的帳戶已加入）。

若要進一步了解 AWS Config，請參閱：
+ AWS Config：[什麼是 Config？](https://docs.aws.amazon.com/config/latest/developerguide/WhatIsConfig.html)
+ AWS Config 規則：[使用 規則評估資源](https://docs.aws.amazon.com/config/latest/developerguide/evaluate-config.html)
+ AWS Config 規則：[動態合規檢查： AWS Config 規則 – 雲端資源的動態合規檢查](https://aws.amazon.com/blogs/aws/aws-config-rules-dynamic-compliance-checking-for-cloud-resources/)
+ AWS Config 彙總工具：[多帳戶多區域資料彙總](https://docs.aws.amazon.com/config/latest/developerguide/aggregate-data.html)

如需報告的資訊，請參閱 [AWS Config 控制合規報告](acc-report-config-control-compliance.md)。

# 使用 AMS Accelerate 的服務連結角色
<a name="using-service-linked-roles"></a>

AMS Accelerate 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色 (SLR) 是直接連結至 AMS Accelerate 的唯一 IAM 角色類型。服務連結角色由 AMS Accelerate 預先定義，並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更輕鬆地設定 AMS Accelerate，因為您不必手動新增必要的許可。AMS Accelerate 定義其服務連結角色的許可，除非另有定義，否則只有 AMS Accelerate 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

如需有關支援服務連結角色的其他 服務的資訊，請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## AMS Accelerate 的部署工具組服務連結角色
<a name="slr-deploy-acc"></a>

AMS Accelerate 使用名為 **AWSServiceRoleForAWSManagedServicesDeploymentToolkit** 的服務連結角色 (SLR) – 此角色會將 AMS Accelerate 基礎設施部署到客戶帳戶。

**注意**  
此政策最近已更新；如需詳細資訊，請參閱 [加速服務連結角色的更新](#slr-updates)。

### AMS Accelerate 部署工具組 SLR
<a name="slr-permissions-deploy-acc"></a>

AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色信任下列服務擔任該角色：
+ `deploymenttoolkit.managedservices.amazonaws.com`

名為 [AWSManagedServicesDeploymentToolkitPolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DeploymentToolkitPolicy) 的政策允許 AMS Accelerate 對下列資源執行動作：
+ `arn:aws*:s3:::ams-cdktoolkit*`
+ `arn:aws*:cloudformation:*:*:stack/ams-cdk-toolkit*`
+ `arn:aws:ecr:*:*:repository/ams-cdktoolkit*`

此 SLR 授予 Amazon S3 許可，以建立和管理 AMS 使用的部署儲存貯體，將 CloudFormation 範本或 Lambda 資產套件等資源上傳至元件部署的帳戶中。此 SLR 授予 CloudFormation 許可，以部署定義部署儲存貯體的 CloudFormation 堆疊。如需詳細資訊或下載政策，請參閱 [AWSManagedServices\$1DeploymentToolkitPolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DeploymentToolkitPolicy)。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

### 建立適用於 AMS Accelerate 的部署工具組 SLR
<a name="create-slr-deploy-acc"></a>

您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台 AWS CLI、 或 AWS API 中加入 AMS 時，AMS Accelerate 會為您建立服務連結角色。

**重要**  
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服務，而該服務連結角色開始支援服務連結角色，則 AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。若要進一步了解，請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時，AMS Accelerate 會再次為您建立服務連結角色。

### 編輯 AMS Accelerate 的部署工具組 SLR
<a name="edit-slr-deploy-acc"></a>

AMS Accelerate 不允許您編輯 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱[「IAM 使用者指南」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)的*編輯服務連結角色*。

### 刪除 AMS Accelerate 的部署工具組 SLR
<a name="delete-slr-deploy-acc"></a>

您不需要手動刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時，AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作，您必須先手動清除服務連結角色的資源，然後才能手動刪除它。

**注意**  
如果您嘗試刪除資源時，AMS Accelerate 服務正在使用該角色，則刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色所使用的 AMS Accelerate 資源**

在 AMS 中刪除您帳戶加入的所有區域中的`ams-cdk-toolkit`堆疊 （您可能需要先手動清空 S3 儲存貯體）。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAWSManagedServicesDeploymentToolkit 服務連結角色。如需詳細資訊，請參閱[《IAM 使用者指南》中的刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。 **

## AMS Accelerate 的 Detective 控制服務連結角色
<a name="slr-deploy-detect-controls"></a>

AMS Accelerate 使用名為 **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig** 的服務連結角色 (SLR) – AWS Managed Services 使用此服務連結角色來部署 config-recorder、config 規則和 S3 儲存貯體偵測控制項。

連接至 **AWSServiceRoleForManagedServices\$1DetectiveControlsConfig** 服務連結角色的受管政策如下：[AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.html#security-iam-awsmanpol-DetectiveControlsConfig)。如需更新此政策，請參閱「[加速 AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」。

### AMS Accelerate 的偵測控制 SLR 許可
<a name="slr-permissions-detect-controls"></a>

AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色信任下列服務擔任該角色：
+ `detectivecontrols.managedservices.amazonaws.com`

連接到此角色是 `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 受管政策 [AWS 受管政策：AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-DetectiveControlsConfig) （請參閱 服務使用 角色在您的帳戶中建立設定 AMS Detective 控制項，這需要部署 資源，例如 s3 儲存貯體、組態規則和 彙總工具。 您必須設定許可，以允許 IAM 實體 （例如使用者、群組或角色） 建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱《 *AWS Identity and Access Management* 使用者指南》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

### 建立 AMS Accelerate 的偵測控制 SLR
<a name="create-slr-detect-controls"></a>

您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台 AWS CLI、 或 AWS API 中加入 AMS 時，AMS Accelerate 會為您建立服務連結角色。

**重要**  
如果您在 2022 年 6 月 9 日之前使用 AMS Accelerate 服務，則此服務連結角色會出現在您的帳戶中，當它開始支援服務連結角色時，AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 角色。若要進一步了解，請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時，AMS Accelerate 會再次為您建立服務連結角色。

### 編輯 AMS Accelerate 的偵測控制項 SLR
<a name="edit-slr-detect-controls"></a>

AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱[《IAM 使用者指南》中的編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 **

### 刪除 AMS Accelerate 的偵測性控制項 SLR
<a name="delete-slr-detect-controls"></a>

您不需要手動刪除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時，AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作，您必須先手動清除服務連結角色的資源，然後才能手動刪除它。

**注意**  
如果您嘗試刪除資源時，AMS Accelerate 服務正在使用該角色，則刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**刪除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色所使用的 AMS Accelerate 資源**

在 AMS 中刪除您帳戶加入的所有區域中的 `ams-detective-controls-config-recorder``ams-detective-controls-config-rules-cdk`和 `ams-detective-controls-infrastructure-cdk`堆疊 （您可能必須先手動清空 S3 儲存貯體）。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices\$1DetectiveControlsConfig 服務連結角色。如需詳細資訊，請參閱「IAM 使用者指南」**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## AMS Accelerate 的 Amazon EventBridge 規則服務連結角色
<a name="slr-evb-rule"></a>

AMS Accelerate 使用名為 **AWSServiceRoleForManagedServices\$1Events** 的服務連結角色 (SLR)。此角色信任其中一個 AWS Managed Services 服務主體 (events.managedservices.amazonaws.com：//) 為您擔任該角色。服務會使用 角色來建立 Amazon EventBridge 受管規則。此規則是您 AWS 帳戶中將警示狀態變更資訊從您的帳戶交付至 AWS Managed Services 所需的基礎設施。

### 適用於 AMS Accelerate 的 EventBridge SLR 許可
<a name="slr-permissions-create-evb-rule"></a>

AWSServiceRoleForManagedServices\$1Events 服務連結角色信任下列服務擔任該角色：
+ `events.managedservices.amazonaws.com`

連接到此角色是 `AWSManagedServices_EventsServiceRolePolicy` AWS 受管政策 （請參閱 [AWS 受管政策：AWSManagedServices\$1EventsServiceRolePolicy](security-iam-awsmanpol.md#EventsServiceRolePolicy))。服務會使用 角色，將警示狀態變更資訊從您的帳戶傳遞至 AMS。您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱*AWS Identity and Access Management 《 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

您可以在此 ZIP： EventsServiceRolePolicy.zip 中下載 JSON AWSManagedServices\$1EventsServiceRolePolicy。 [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip)

### 為 AMS Accelerate 建立 EventBridge SLR
<a name="slr-evb-rule-create"></a>

您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台 AWS CLI、 或 AWS API 中加入 AMS 時，AMS Accelerate 會為您建立服務連結角色。

**重要**  
如果您在 2023 年 2 月 7 日之前使用 AMS Accelerate 服務，則此服務連結角色會出現在您的帳戶中，當它開始支援服務連結角色時，AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices\$1Events 角色。若要進一步了解，請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時，AMS Accelerate 會再次為您建立服務連結角色。

### 編輯 AMS Accelerate 的 EventBridge SLR
<a name="slr-evb-rule-edit"></a>

AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices\$1Events 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱[「IAM 使用者指南」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)的*編輯服務連結角色*。

### 刪除 AMS Accelerate 的 EventBridge SLR
<a name="slr-evb-rule-delete"></a>

您不需要手動刪除 AWSServiceRoleForManagedServices\$1Events 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時，AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作，您必須先手動清除服務連結角色的資源，然後才能手動刪除它。

**注意**  
如果您嘗試刪除資源時，AMS Accelerate 服務正在使用該角色，則刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**刪除 AWSServiceRoleForManagedServices\$1Events 服務連結角色所使用的 AMS Accelerate 資源**

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices\$1Events 服務連結角色。如需詳細資訊，請參閱「IAM 使用者指南」**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 聯絡 AMS Accelerate 的服務連結角色
<a name="slr-contacts-service"></a>

AMS Accelerate 使用名為 **AWSServiceRoleForManagedServices\$1Contacts** 的服務連結角色 (SLR) – 此角色可讓服務讀取受影響資源的現有標籤，並擷取適當聯絡人的設定電子郵件，以便在事件發生時加速自動通知。

這是唯一使用此服務連結角色的服務。

連接至 **AWSServiceRoleForManagedServices\$1Contacts** 服務連結角色的受管政策如下：[AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.html#ContactsServiceManagedPolicy)。如需更新此政策，請參閱「[加速 AWS 受管政策的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)」。

### AMS Accelerate 的聯絡 SLR 許可
<a name="slr-permissions-contacts-service"></a>

AWSServiceRoleForManagedServices\$1Contacts 服務連結角色信任下列服務擔任該角色：
+ `contacts-service.managedservices.amazonaws.com`

連接到此角色是 `AWSManagedServices_ContactsServiceRolePolicy` AWS 受管政策 （請參閱 [AWS 受管政策：AWSManagedServices\$1ContactsServiceRolePolicy](security-iam-awsmanpol.md#ContactsServiceManagedPolicy))。服務使用 角色讀取任何 AWS 資源上的標籤，並尋找標籤中包含的電子郵件，適用於事件發生時的適當聯絡點。此角色可讓 AMS 在受影響的資源上讀取該標籤並擷取電子郵件，以便在事件發生時促進自動通知。如需詳細資訊，請參閱《 *AWS Identity and Access Management* 使用者指南》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

**重要**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。AMS 使用標籤來為您提供管理服務。標籤不適用於私人或敏感資料。

名為 AWSManagedServices\$1ContactsServiceRolePolicy 的角色許可政策可讓 AMS Accelerate 對指定的資源完成下列動作：
+ 動作：允許 Contacts Service 讀取專門設定的標籤，以包含 AMS 在任何 AWS 資源上傳送事件通知的電子郵件。

您可以在此 ZIP：ContactsServicePolicy.zip 中下載 JSON AWSManagedServices\$1ContactsServiceRolePolicy。 [ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip)

### 為 AMS Accelerate 建立聯絡人 SLR
<a name="slr-contacts-service-create"></a>

您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台、 AWS CLI或 AWS API 中加入 AMS 時，AMS Accelerate 會為您建立服務連結角色。

**重要**  
如果您在 2023 年 2 月 16 日之前使用 AMS Accelerate 服務，此服務連結角色會出現在您的帳戶中，當它開始支援服務連結角色時，AMS Accelerate 會在您的帳戶中建立 AWSServiceRoleForManagedServices\$1Contacts 角色。若要進一步了解，請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您加入 AMS 時，AMS Accelerate 會再次為您建立服務連結角色。

### 編輯 AMS Accelerate 的聯絡人 SLR
<a name="slr-contacts-service-edit"></a>

AMS Accelerate 不允許您編輯 AWSServiceRoleForManagedServices\$1Contacts 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱[「IAM 使用者指南」](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)的*編輯服務連結角色*。

### 刪除 AMS Accelerate 的聯絡人 SLR
<a name="slr-contacts-service-delete"></a>

您不需要手動刪除 AWSServiceRoleForManagedServices\$1Contacts 角色。當您從 AWS 管理主控台 AWS CLI、 或 AWS API 的 AMS 離職時，AMS Accelerate 會為您清除資源並刪除服務連結角色。

您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作，您必須先手動清除服務連結角色的資源，然後才能手動刪除它。

**注意**  
如果您嘗試刪除資源時，AMS Accelerate 服務正在使用該角色，則刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**刪除 AWSServiceRoleForManagedServices\$1Contacts 服務連結角色所使用的 AMS Accelerate 資源**

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForManagedServices\$1Contacts 服務連結角色。如需詳細資訊，請參閱「IAM 使用者指南」**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## AMS Accelerate 服務連結角色支援的區域
<a name="slr-regions"></a>

AMS Accelerate 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊，請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。

## 加速服務連結角色的更新
<a name="slr-updates"></a>

檢視自此服務開始追蹤這些變更以來，加速服務連結角色更新的詳細資訊。如需此頁面變更的自動提醒，請訂閱加速頁面上的 RSS 摘要[AMS Accelerate 使用者指南的文件歷史記錄](doc-history.md)。


| 變更 | 描述 | 日期 | 
| --- | --- | --- | 
| 更新的政策 – [部署工具組](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2024 年 4 月 4 日 | 
| 更新的政策 – [部署工具組](#slr-deploy-acc) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023 年 5 月 9 日 | 
| 更新的政策 – [Detective 控制項](#slr-deploy-detect-controls) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/using-service-linked-roles.html) | 2023 年 4 月 10 日 | 
| 更新的政策 – [Detective 控制項](#slr-deploy-detect-controls) | 已更新政策並新增許可界限政策。 | 2023 年 3 月 21 日 | 
| 新的服務連結角色 – [聯絡 SLR](#slr-contacts-service) | 加速新增 Contacts 服務的新服務連結角色。 此角色可讓服務讀取受影響資源的現有標籤，並擷取適當聯絡人的已設定電子郵件，以便在事件發生時促進自動通知。 | 2023 年 2 月 16 日 | 
| 新的服務連結角色 – [EventBridge](#slr-evb-rule) | 加速為 Amazon EventBridge 規則新增了新的服務連結角色。 此角色信任其中一個 AWS Managed Services 服務主體 (events.managedservices.amazonaws.com：//) 為您擔任該角色。服務會使用 角色來建立 Amazon EventBridge 受管規則。此規則是您 AWS 帳戶中將警示狀態變更資訊從您的帳戶交付至 AWS Managed Services 所需的基礎設施。 | 2023 年 2 月 7 日 | 
| 更新服務連結角色 – [部署工具組](#slr-deploy-acc) | 使用新的 S3 許可加速更新的 AWSServiceRoleForAWSManagedServicesDeploymentToolkit。 已新增這些新許可： <pre>"s3:GetLifecycleConfiguration",<br />"s3:GetBucketLogging",<br />"s3:ListBucket",<br />"s3:GetBucketVersioning",<br />"s3:PutLifecycleConfiguration",<br />"s3:GetBucketLocation",<br />"s3:GetObject*"</pre> | 2023 年 1 月 30 日 | 
| 加速開始追蹤變更 | 加速開始追蹤其服務連結角色的變更。 | 2022 年 11 月 30 日 | 
| 新的服務連結角色 – [Detective 控制項](#slr-deploy-detect-controls) | Accelerate 新增了新的服務連結角色來部署 Accelerate 偵測控制項。 AWS Managed Services 使用此服務連結角色來部署組態記錄器、組態規則和 S3 儲存貯體偵測控制項。 | 2022 年 10 月 13 日 | 
| 新的服務連結角色 – [部署工具組](#slr-deploy-acc) | Accelerate 新增了部署 Accelerate 基礎設施的新服務連結角色。 此角色會將 AMS Accelerate 基礎設施部署到客戶帳戶。 | 2022 年 6 月 9 日 | 

# AWS AMS Accelerate 的 受管政策
<a name="security-iam-awsmanpol"></a>

 AWS 受管政策是由 AWS AWS 受管政策建立和管理的獨立政策旨在為許多常用案例提供許可，以便您可以開始將許可指派給使用者、群組和角色。

請記住， AWS 受管政策可能不會授予特定使用案例的最低權限許可，因為這些許可可供所有 AWS 客戶使用。我們建議您定義使用案例專屬的[客戶管理政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)，以便進一步減少許可。

您無法變更 AWS 受管政策中定義的許可。如果 AWS 更新受 AWS 管政策中定義的許可，則更新會影響政策連接的所有委託人身分 （使用者、群組和角色）。當新的 AWS 服務 啟動或新的 API 操作可供現有服務使用時， AWS 最有可能更新 AWS 受管政策。

如需詳細資訊，請參閱《*IAM 使用者指南*》中的 [AWS 受管政策](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。

如需變更資料表，請參閱 [加速 AWS 受管政策的更新](#security-iam-awsmanpol-updates)。

## AWS 受管政策：AWSManagedServices\$1AlarmManagerPermissionsBoundary
<a name="security-iam-awsmanpol-AlarmManagerPermissionsBoundary"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_AlarmManagerPermissionsBoundary` AWS 受管政策。此 AWS受管政策用於 AWSManagedServices\$1AlarmManager\$1ServiceRolePolicy，以限制由 AWSServiceRoleForManagedServices\$1AlarmManager 建立之 IAM 角色的許可。

此政策會授予建立為 一部分的 IAM 角色[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)、執行 Config AWS 評估、擷取 Alarm Manager 組態的 AWS Config 讀取，以及建立必要 Amazon CloudWatch 警示等操作的許可。

`AWSManagedServices_AlarmManagerPermissionsBoundary` 政策會連接到`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色。如需此角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

您可以將此政策連接至 IAM 身分。

**許可詳細資訊**

此政策包含以下許可。
+ `AWS Config` – 允許評估組態規則和選取資源組態的許可。
+ `AWS AppConfig` – 允許擷取 AlarmManager 組態的許可。
+ `Amazon S3` – 允許操作 AlarmManager 儲存貯體和物件的許可。
+ `Amazon CloudWatch` – 允許讀取和放置 AlarmManager 受管警示和指標的許可。
+ `AWS Resource Groups and Tags` – 允許讀取資源標籤的許可。
+ `Amazon EC2` – 允許讀取 Amazon EC2 資源的許可。
+ `Amazon Redshift` – 允許讀取 Redshift 執行個體和叢集的許可。
+ `Amazon FSx` – 允許描述檔案系統、磁碟區和資源標籤的許可。
+ `Amazon CloudWatch Synthetics` – 允許讀取 Synthetics 資源的許可。
+ `Amazon Elastic Kubernetes Service` – 允許描述 Amazon EKS 叢集的許可。
+ `Amazon ElastiCache` – 允許描述 資源的許可。

您可以在此 ZIP：[RecommendedPermissionBoundary.zip](samples/RecommendedPermissionBoundary.zip) 中下載政策檔案。

## AWS 受管政策：AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy
<a name="security-iam-awsmanpol-DetectiveControlsConfig"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_DetectiveControlsConfig_ServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色](using-service-linked-roles.html#slr-deploy-detect-controls) （請參閱 [AMS Accelerate 的 Detective 控制服務連結角色](using-service-linked-roles.md#slr-deploy-detect-controls))。如需`AWSServiceRoleForManagedServices_DetectiveControlsConfig`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

此政策允許服務連結角色為您完成動作。

您可以將 AWSManagedServices\$1DetectiveControlsConfig\$1ServiceRolePolicy 政策連接至您的 IAM 實體。

如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

**許可詳細資訊**

此政策具有下列許可，允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。
+ `CloudFormation` – 允許 AMS Detective Controls 部署具有 s3 儲存貯體、組態規則和組態記錄器等資源的 CloudFormation 堆疊。
+ `AWS Config` – 允許 AMS Detective 控制項建立 AMS 組態規則、設定彙總器和標籤資源。
+ `Amazon S3` – 允許 AMS Detective Controls 管理其 s3 儲存貯體。

您可以在此 ZIP 中下載 JSON 政策檔案：[DetectiveControlsConfig\$1ServiceRolePolicy.zip](samples/DetectiveControlsConfig_ServiceRolePolicy.zip)。

## AWS 受管政策：AWSManagedServicesDeploymentToolkitPolicy
<a name="security-iam-awsmanpol-DeploymentToolkitPolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServicesDeploymentToolkitPolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForAWSManagedServicesDeploymentToolkit`服務連結角色](using-service-linked-roles.html#slr-deploy-acc) （請參閱 [AMS Accelerate 的部署工具組服務連結角色](using-service-linked-roles.md#slr-deploy-acc))。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

如需`AWSServiceRoleForManagedServicesDeploymentToolkitPolicy`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

**許可詳細資訊**

此政策具有下列許可，允許 AWS Managed Services Detective Controls 部署和設定所有必要的資源。
+ `CloudFormation` – 允許 AMS Deployment Toolkit 使用 CDK 所需的 S3 資源部署 CFN 堆疊。
+ `Amazon S3` – 允許 AMS Deployment Toolkit 管理其 S3 儲存貯體。
+ `Elastic Container Registry` – 允許 AMS Deployment Toolkit 管理其 ECR 儲存庫，用於部署 AMS CDK 應用程式所需的資產。

您可以在此 ZIP 中下載 JSON 政策檔案：[AWSManagedServicesDeploymentToolkitPolicy.zip](samples/AWSManagedServices_DeploymentToolkitPolicy.zip)。

## AWS 受管政策：AWSManagedServices\$1EventsServiceRolePolicy
<a name="EventsServiceRolePolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_EventsServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_Events`服務連結角色](using-service-linked-roles.html#slr-evb-rule)。此政策允許服務連結角色為您完成動作。您無法將此政策連接至 IAM 實體。如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

如需`AWSServiceRoleForManagedServices_Events`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

**許可詳細資訊**

此政策具有下列許可，允許 Amazon EventBridge 將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。
+ `events` – 允許 Accelerate 建立 Amazon EventBridge 受管規則。此規則是 中從您的帳戶 AWS 帳戶 交付警示狀態變更資訊所需的基礎設施 AWS Managed Services。

您可以在此 ZIP： [EventsServiceRolePolicy.zip](samples/EventsServiceRolePolicy.zip) 中下載 JSON 政策檔案。

## AWS 受管政策：AWSManagedServices\$1ContactsServiceRolePolicy
<a name="ContactsServiceManagedPolicy"></a>

AWS Managed Services (AMS) 使用 `AWSManagedServices_ContactsServiceRolePolicy` AWS 受管政策。此 AWS受管政策會連接至[`AWSServiceRoleForManagedServices_Contacts`服務連結角色](using-service-linked-roles.html#slr-contacts-service) （請參閱 [為 AMS Accelerate 建立聯絡人 SLR](using-service-linked-roles.md#slr-contacts-service-create))。此政策允許 AMS Contacts SLR 在 AWS 資源上查看您的資源標籤及其值。您無法將此政策連接至 IAM 實體。如需詳細資訊，請參閱[使用 AMS Accelerate 的服務連結角色](using-service-linked-roles.md)。

**重要**  
請勿將個人識別資訊 (PII) 或其他機密或敏感資訊儲存在標籤中。AMS 使用標籤來為您提供管理服務。標籤不適用於私人或敏感資料。

如需`AWSServiceRoleForManagedServices_Contacts`服務連結角色的更新，請參閱 [加速服務連結角色的更新](using-service-linked-roles.md#slr-updates)。

**許可詳細資訊**

此政策具有下列許可，允許 Contacts SLR 讀取您的資源標籤，以擷取您事先設定的資源聯絡資訊。
+ `IAM` – 允許 Contacts 服務查看 IAM 角色和 IAM 使用者的標籤。
+ `Amazon EC2` – 允許 Contacts 服務查看 Amazon EC2 資源上的標籤。
+ `Amazon S3` – 允許 Contacts Service 查看 Amazon S3 儲存貯體上的標籤。此動作使用 條件，以確保 AMS 使用 HTTP 授權標頭、使用 SigV4 簽章通訊協定，以及搭配 TLS 1.2 或更新版本使用 HTTPS 來存取您的儲存貯體標籤。如需詳細資訊，請參閱[身分驗證方法](https://docs.aws.amazon.com/AmazonS3/latest/API/sig-v4-authenticating-requests.html#auth-methods-intro)和 [Amazon S3 Signature 第 4 版身分驗證特定政策金鑰](https://docs.aws.amazon.com/AmazonS3/latest/API/bucket-policy-s3-sigv4-conditions.html)。
+ `Tag` – 允許 Contacts 服務查看其他 AWS 資源上的標籤。
+ "iam：ListRoleTags"、"iam：ListUserTags"、"tag：GetResources"、"tag：GetTagKeys"、"tag：GetTagValues"、"ec2：DescribeTags"、"s3：GetBucketTagging"

您可以在此 ZIP：[ContactsServicePolicy.zip](samples/ContactsServicePolicy.zip) 中下載 JSON 政策檔案。

## 加速 AWS 受管政策的更新
<a name="security-iam-awsmanpol-updates"></a>

檢視自此服務開始追蹤這些變更以來的 Accelerate AWS 受管政策更新詳細資訊。


| 變更 | 描述 | 日期 | 
| --- | --- | --- | 
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2024 年 4 月 4 日 | 
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 5 月 9 日 | 
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | [\[See the AWS documentation website for more details\]](http://docs.aws.amazon.com/zh_tw/managedservices/latest/accelerate-guide/security-iam-awsmanpol.html) | 2023 年 4 月 10 日 | 
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | `ListAttachedRolePolicies` 動作會從政策中移除。動作具有資源做為萬用字元 (\$1)。由於「清單」是非變動動作，因此可以存取所有資源，而且不允許萬用字元。 | 2023 年 3 月 28 日 | 
| 更新的政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig) | 已更新政策並新增許可界限政策。 | 2023 年 3 月 21 日 | 
| 新政策 – [Contacts Service](#ContactsServiceManagedPolicy) | 加速新增政策，以查看來自資源標籤的帳戶聯絡資訊。 加速新增政策以讀取您的資源標籤，讓它可以擷取您事先設定的資源聯絡資訊。 | 2023 年 2 月 16 日 | 
| 新政策 – [Events Service](#EventsServiceRolePolicy) | 加速新增政策，將警示狀態變更資訊從您的帳戶傳遞至 AWS Managed Services。 授予在[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可中建立的 IAM 角色，以建立必要的 Amazon EventBridge 受管規則。 | 2023 年 2 月 7 日 | 
| 更新的政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 新增 S3 許可，以支援客戶從 Accelerate 離職。 | 2023 年 1 月 30 日 | 
| 新政策 – [Detective 控制項](#security-iam-awsmanpol-DetectiveControlsConfig)  | 允許服務連結角色 [AMS Accelerate 的 Detective 控制服務連結角色](using-service-linked-roles.md#slr-deploy-detect-controls)為您完成部署加速偵測控制項的動作。 | 2022 年 12 月 19 日 | 
| 新政策 – [Alarm Manager](#security-iam-awsmanpol-AlarmManagerPermissionsBoundary)  | 加速新增政策，以允許執行警示管理員任務的許可。 授予在[警示管理員的運作方式](acc-mem-tag-alarms.md#acc-mem-how-tag-alarms-work)許可中建立的 IAM 角色，以執行 Config AWS 評估、 AWS Config 讀取以擷取警示管理員組態、建立必要的 Amazon CloudWatch 警示等操作。 | 2022 年 11 月 30 日 | 
| 加速開始追蹤變更 | 加速開始追蹤其 AWS 受管政策的變更。 | 2022 年 11 月 30 日 | 
| 新政策 – [部署工具組](#security-iam-awsmanpol-DeploymentToolkitPolicy) | 加速為部署任務新增此政策。 授予服務連結角色 [AWSServiceRoleForAWSManagedServicesDeploymentToolkit](using-service-linked-roles.md#slr-deploy-acc) 存取和更新部署相關 Amazon S3 儲存貯體和 CloudFormation 堆疊的許可。 | 2022 年 6 月 9 日 |