本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 IAM Identity Center 的服務連結角色
AWS IAM Identity Center use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 IAM Identity Center 的唯一 IAM 角色類型。它由 IAM Identity Center 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。如需詳細資訊,請參閱[了解 IAM Identity Center 中的服務連結角色](slrconcept.md)。
服務連結角色可讓您更輕鬆地設定 IAM Identity Center,因為您不必手動新增必要的許可。IAM Identity Center 定義其服務連結角色的許可,除非另有定義,否則只有 IAM Identity Center 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## IAM Identity Center 的服務連結角色許可
IAM Identity Center 使用名為 **AWSServiceRoleForSSO** 的服務連結角色,授予 IAM Identity Center 代表您管理 AWS 資源的許可,包括 IAM 角色、政策和 SAML IdP。
AWSServiceRoleForSSO 服務連結角色信任下列服務擔任該角色:
+ IAM Identity Center (服務字首:`sso`)
AWSSSOServiceRolePolicy 服務連結角色許可政策允許 IAM Identity Center 對路徑「/aws-reserved/sso.amazonaws.com/」上的角色完成下列動作,且名稱字首為「AWSReservedSSO\$1」:
+ `iam:AttachRolePolicy`
+ `iam:CreateRole`
+ `iam:DeleteRole`
+ `iam:DeleteRolePermissionsBoundary`
+ `iam:DeleteRolePolicy`
+ `iam:DetachRolePolicy`
+ `iam:GetRole`
+ `iam:ListRolePolicies`
+ `iam:PutRolePolicy`
+ `iam:PutRolePermissionsBoundary`
+ `iam:ListAttachedRolePolicies`
AWSSSOServiceRolePolicy 服務連結角色許可政策允許 IAM Identity Center 在名稱字首為「AWSSSO\$1」的 SAML 供應商上完成下列項目:
+ `iam:CreateSAMLProvider`
+ `iam:GetSAMLProvider`
+ `iam:UpdateSAMLProvider`
+ `iam:DeleteSAMLProvider`
AWSSSOServiceRolePolicy 服務連結角色許可政策允許 IAM Identity Center 在所有組織上完成下列項目:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListDelegatedAdministrators`
AWSSSOServiceRolePolicy 服務連結角色許可政策允許 IAM Identity Center 在所有 IAM 角色上完成下列操作 (\$1):
+ `iam:listRoles`
AWSSSOServiceRolePolicy 服務連結角色許可政策允許 IAM Identity Center 在「arn:aws:iam::\$1:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO」上完成下列項目:
+ `iam:GetServiceLinkedRoleDeletionStatus`
+ `iam:DeleteServiceLinkedRole`
AWSSSOServiceRolePolicy 服務連結角色許可政策允許 IAM Identity Center 在「arn:aws:identity-sync:\$1:\$1:profile/\$1」上完成下列事項:
+ `identity-sync:DeleteSyncProfile`
如需 AWSSSOServiceRolePolicy 服務連結角色許可政策更新的詳細資訊,請參閱 [AWS 受管政策的 IAM Identity Center 更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement":[
{
"Sid":"IAMRoleProvisioningActions",
"Effect":"Allow",
"Action":[
"iam:AttachRolePolicy",
"iam:CreateRole",
"iam:DeleteRolePermissionsBoundary",
"iam:PutRolePermissionsBoundary",
"iam:PutRolePolicy",
"iam:UpdateRole",
"iam:UpdateRoleDescription",
"iam:UpdateAssumeRolePolicy"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
],
"Condition":{
"StringNotEquals":{
"aws:PrincipalOrgMasterAccountId":"${aws:PrincipalAccount}"
}
}
},
{
"Sid":"IAMRoleReadActions",
"Effect":"Allow",
"Action":[
"iam:GetRole",
"iam:ListRoles"
],
"Resource":[
"*"
]
},
{
"Sid":"IAMRoleCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteRole",
"iam:DeleteRolePolicy",
"iam:DetachRolePolicy",
"iam:ListRolePolicies",
"iam:ListAttachedRolePolicies"
],
"Resource":[
"arn:aws:iam::*:role/aws-reserved/sso.amazonaws.com/*"
]
},
{
"Sid":"IAMSLRCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus",
"iam:DeleteRole",
"iam:GetRole"
],
"Resource":[
"arn:aws:iam::*:role/aws-service-role/sso.amazonaws.com/AWSServiceRoleForSSO"
]
},
{
"Sid": "IAMSAMLProviderCreationAction",
"Effect": "Allow",
"Action": [
"iam:CreateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
],
"Condition": {
"StringNotEquals": {
"aws:PrincipalOrgMasterAccountId": "${aws:PrincipalAccount}"
}
}
},
{
"Sid": "IAMSAMLProviderUpdateAction",
"Effect": "Allow",
"Action": [
"iam:UpdateSAMLProvider"
],
"Resource": [
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Sid":"IAMSAMLProviderCleanupActions",
"Effect":"Allow",
"Action":[
"iam:DeleteSAMLProvider",
"iam:GetSAMLProvider"
],
"Resource":[
"arn:aws:iam::*:saml-provider/AWSSSO_*"
]
},
{
"Effect":"Allow",
"Action":[
"organizations:DescribeAccount",
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowUnauthAppForDirectory",
"Effect":"Allow",
"Action":[
"ds:UnauthorizeApplication"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeForDirectory",
"Effect":"Allow",
"Action":[
"ds:DescribeDirectories",
"ds:DescribeTrusts"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDescribeAndListOperationsOnIdentitySource",
"Effect":"Allow",
"Action":[
"identitystore:DescribeUser",
"identitystore:DescribeGroup",
"identitystore:ListGroups",
"identitystore:ListUsers"
],
"Resource":[
"*"
]
},
{
"Sid":"AllowDeleteSyncProfile",
"Effect":"Allow",
"Action":[
"identity-sync:DeleteSyncProfile"
],
"Resource":[
"arn:aws:identity-sync:*:*:profile/*"
]
}
]
}
```
------
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 IAM Identity Center 建立服務連結角色
您不需要手動建立一個服務連結角色。啟用後,IAM Identity Center 會在 AWS Organizations 中組織內的所有帳戶中建立服務連結角色。IAM Identity Center 也會在每個帳戶中建立相同的服務連結角色,該角色隨後會新增至您的組織。此角色允許 IAM Identity Center 代表您存取每個帳戶的資源。
**備註**
如果您登入 AWS Organizations 管理帳戶,它會使用您目前登入的角色,而不是服務連結角色。這可防止權限升級。
當 IAM Identity Center 在 AWS Organizations 管理帳戶中執行任何 IAM 操作時,所有操作都會使用 IAM 主體的登入資料進行。這可讓 CloudTrail 中的日誌提供誰在管理帳戶中進行所有權限變更的可見性。
**重要**
如果您在 2017 年 12 月 7 日之前使用 IAM Identity Center 服務,當它開始支援服務連結角色時,IAM Identity Center 會在您的帳戶中建立 AWSServiceRoleForSSO 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯 IAM Identity Center 的服務連結角色
IAM Identity Center 不允許您編輯 AWSServiceRoleForSSO 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 IAM Identity Center 的服務連結角色
您不需要手動刪除 AWSServiceRoleForSSO 角色。從 AWS 組織移除 AWS 帳戶 時,IAM Identity Center 會自動清除資源,並從中刪除服務連結角色 AWS 帳戶。
您也可以使用 IAM 主控台、IAM CLI 或 IAM API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果您嘗試刪除資源時,IAM Identity Center 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 AWSServiceRoleForSSO 使用的 IAM Identity Center 資源**
1. [移除 的使用者和群組存取權 AWS 帳戶](howtoremoveaccess.md) 適用於所有可存取 的使用者和群組 AWS 帳戶。
1. [在 IAM Identity Center 中移除許可集](howtoremovepermissionset.md) 您已與 相關聯的 AWS 帳戶。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台、IAM CLI 或 IAM API 來刪除 AWSServiceRoleForSSO 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。