本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 針對資源總管使用服務連結角色
<a name="security_iam_service-linked-roles"></a>

AWS 資源總管 使用 AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至資源總管的唯一IAM角色類型。服務連結角色由 Resource Explorer 預先定義，並包含服務代表您呼叫其他人所需 AWS 服務 的所有權限。

服務連結角色可讓您更輕鬆地設定資源總管，因為您不需要手動新增必要的權限。資源總管會定義其服務連結角色的權限，除非另有定義，否則只有資源總管可以擔任其角色。定義的權限包括信任原則和權限原則，而且該權限原則無法指派給任何其他IAM實體。

如需其他支援服務連結角色之服務的相關資訊，請參閱*《IAM使用者指南》IAM中的使用AWS *[服](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)務。在那裡，尋找在服務**連結角色欄中具有 **[是]** 的服**務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## 資源總管的服務連結角色權限
<a name="slr-permissions"></a>

資源總管使用名為`AWSServiceRoleForResourceExplorer`的服務連結角色。此角色會授與 Resource Explorer 服務的權限，以便代表您 AWS 帳戶 檢視資源和 AWS CloudTrail 事件，並為這些資源建立索引以支援搜尋。

服`AWSServiceRoleForResourceExplorer`務連結角色只會信任具有下列服務主體的服務擔任該角色：
+ `resource-explorer-2.amazonaws.com`

名為的角色權限原則AWSResourceExplorerServiceRolePolicy允許 Resource Explorer 唯讀存取，以擷取支援資源的資 AWS 源名稱和屬性。若要檢視資源總管支援的服務和資源，請參閱[您可以使用資源總管搜尋的資源類型](https://docs.aws.amazon.com/resource-explorer/latest/userguide/supported-resource-types.html)。如需此角色可執行之所有動作的完整清單，您可以在IAM主控台中檢視`[AWSResourceExplorerServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/AWSResourceExplorerServiceRolePolicy)`策略。

主參與者是IAM實體，例如使用者、群組或角色。如果讓 Resource Explorer 在帳號的第一個區域中建立索引時為您建立服務連結角色，則執行工作的主參與者只需要建立資源總管索引所需的權限。若要使用手動建立服務連結角色IAM，則執行任務的主參與者必須具有建立服務連結角色的權限。如需詳細資訊，請參閱*IAM使用指南*中的[服務連結角色權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 建立資源總管的服務連結角色
<a name="create-slr"></a>

您不需要手動建立一個服務連結角色。當您在中開啟資源總管 AWS 管理主控台，或使用或[CreateIndex](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_CreateIndex.html)在帳戶中的第一 AWS 區域 個執行時 AWS API，Resource Explorer 會為您建立服務連結角色。 AWS CLI 

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您[RegisterResourceExplorer](https://docs.aws.amazon.com/resource-explorer/latest/apireference/API_RegisterResourceExplorer.html)在帳號中的第一個區域中時，資源總管會再次為您建立服務連結角色。

## 編輯資源總管的服務連結角色
<a name="edit-slr"></a>

資源總管不允許您編輯`AWSServiceRoleForResourceExplorer`服務連結角色。因為可能有各種實體會參考服務連結角色，所以您無法在建立角色之後變更其名稱。但是，您可以使用編輯角色的描述IAM。如需詳細資訊，請參閱*IAM使用指南*中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除資源總管的服務連結角色
<a name="delete-slr"></a>

您可以使用IAM主控台 AWS CLI、或手動刪除服務連結角色。 AWS API若要這麼做，您必須先從帳戶 AWS 區域 中的每個項目移除 Resource Explorer 索引，然後才能手動刪除服務連結角色。

**注意**  
當您嘗試刪除資源時，如果資源總管服務正在使用該角色，則刪除會失敗。如果發生這種情況，請確保刪除所有區域中的所有索引，然後等待幾分鐘，然後再次嘗試該操作。

**若要使用手動刪除服務連結角色 IAM**

使用IAM主控台 AWS CLI、或刪除`AWSServiceRoleForResourceExplorer`服務連結角色。 AWS API如需詳細資訊，請參閱*IAM使用指南*中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 資源總管服務連結角色的支援區域
<a name="slr-regions"></a>

資源總管支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊，請參閱 *Amazon Web Services 一般參考* 中的 [AWS 服務 端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。