• 2026 年 4 月 30 日之後, AWS Systems Manager CloudWatch Dashboard 將不再可用。客戶可以繼續使用 Amazon CloudWatch 主控台來檢視、建立和管理其 Amazon CloudWatch 儀表板,就像現在一樣。如需詳細資訊,請參閱 [Amazon CloudWatch Dashboard 文件](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/CloudWatch_Dashboards.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Systems Manager 的服務連結角色
AWS Systems Manager use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Systems Manager 的一種特殊 IAM 角色類型。服務連結角色由 Systems Manager 預先定義,且內含該服務代您呼叫其他 AWS 服務 所需的所有許可。
**注意**
*服務角色*與服務連結角色不同。服務角色是一種 AWS Identity and Access Management (IAM) 角色,可授予 許可, AWS 服務 讓服務可以存取 AWS 資源。只有幾個 Systems Manager 案例需要服務角色。當您建立 Systems Manager 的服務角色時,您可以選擇要授予的許可,以便它能夠存取或與其他 AWS 資源互動。
服務連結的角色可讓設定 Systems Manager 更為簡單,因為您不必手動新增必要的許可。Systems Manager 定義其服務連結角色的許可,除非另有定義,否則僅有 Systems Manager 可以擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。如此可保護您 Systems Manager 的資源,避免您不小心移除資源的存取許可。
**注意**
在[混合多雲端](operating-systems-and-machine-types.md#supported-machine-types)環境中,您的非 EC2 節點需要其他 IAM 角色,讓這些機器能夠與 Systems Manager 服務通訊。這是 Systems Manager 的 IAM 服務角色。此角色會將 AWS Security Token Service (AWS STS) *AssumeRole* 信任授予Systems Manager服務。`AssumeRole` 動作會傳回一組臨時的安全登入資料 (包括存取金鑰 ID、私密存取金鑰和安全字符)。您可以使用這些臨時登入資料來存取您通常無法存取 AWS 的資源。如需詳細資訊,請參閱《[AWS Security Token Service API 參考](https://docs.aws.amazon.com/STS/latest/APIReference/)》**中的[在混合多雲端環境中建立 Systems Manager 所需的 IAM 服務角色](hybrid-multicloud-service-role.md)和 [AssumeRole](https://docs.aws.amazon.com/STS/latest/APIReference/API_AssumeRole.html)。
如需關於支援服務連結角色的其他服務資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-linked roles** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
**Topics**
+ [使用角色來收集庫存和查看 OpsData](using-service-linked-roles-service-action-1.md)
+ [使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer](using-service-linked-roles-service-action-2.md)
+ [使用角色為 OpsItems 建立 OpsData 和 Explorer:](using-service-linked-roles-service-action-3.md)
+ [使用角色在 Systems Manager OpsCenter 中建立操作洞察 OpsItems](using-service-linked-roles-service-action-4.md)
+ [使用角色來維護 Quick Setup 佈建的資源運作狀態和一致性](using-service-linked-roles-service-action-5.md)
+ [使用角色匯出 Explorer OpsData](using-service-linked-roles-service-action-6.md)
+ [使用角色來啟用即時節點存取](using-service-linked-roles-service-action-8.md)
+ [使用角色傳送即時節點存取請求通知](using-service-linked-roles-service-action-9.md)
# 使用角色來收集庫存和查看 OpsData
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForAmazonSSM`**。 AWS Systems Manager 使用此 IAM 服務角色代表您管理 AWS 資源。
## 用於庫存、OpsData 和 OpsItems 的服務連結角色許可
`AWSServiceRoleForAmazonSSM` 服務連結角色僅信任 `ssm.amazonaws.com` 服務擔任此角色。
您可以將 Systems Manager 服務連結角色 `AWSServiceRoleForAmazonSSM` 用於下列功能:
+ Systems Manager 庫存工具使用服務連結角色 `AWSServiceRoleForAmazonSSM` 從標籤和資源群組中收集庫存中繼資料。
+ Explorer 工具使用服務連結角色 `AWSServiceRoleForAmazonSSM`,以便檢視多個帳戶的 OpsData 和 OpsItems。當您啟用 Security Hub CSPM 做為來自 Explorer或 的資料來源時Explorer,此服務連結角色也允許 建立受管規則OpsCenter。
**重要**
先前,Systems Manager 主控台可讓您選擇要`AWSServiceRoleForAmazonSSM`用作任務維護角色的 AWS 受管 IAM 服務連結角色。不再建議將此角色及其關聯政策 `AmazonSSMServiceRolePolicy`,用於維護時段任務。如果您現在將此角色用於維護時段任務,我們建議您停止使用。相反地,請建立您自己的 IAM 角色,以便在維護時段任務執行 AWS 服務 時啟用 Systems Manager 與其他 之間的通訊。
如需詳細資訊,請參閱[設定 Maintenance Windows](setting-up-maintenance-windows.md)。
用於為 `AWSServiceRoleForAmazonSSM` 角色提供許可的受管政策是 `AmazonSSMServiceRolePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AmazonSSMServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AmazonSSMServiceRolePolicy)。
## 建立 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服務連結角色
您可以在 IAM 主控台透過 **EC2** 使用案例建立服務連結角色。使用 AWS Command Line Interface (AWS CLI) 中的 IAM 命令或使用 IAM API,建立使用 `ssm.amazonaws.com` 服務名稱的服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForAmazonSSM` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForAmazonSSM` 服務連結角色
若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台 AWS CLI、 或 IAM API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
由於 `AWSServiceRoleForAmazonSSM` 服務連結角色可同時由多個工具使用,試圖將該角色刪除前,請先確認沒有工具在使用此角色。
+ **庫存:**如果您刪除庫存工具使用的服務連結角色,則標籤和資源群組的庫存資料將不再同步。手動刪除服務連結角色之前,您必須先清理資源。
+ **Explorer:**如果您刪除 Explorer 工具使用的服務連結角色,則跨帳戶和跨區域 OpsData 與 OpsItems 不再可檢視。
**注意**
如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 `AWSServiceRoleForAmazonSSM` 所使用的 Systems Manager 資源**
1. 若要刪除標籤,請參閱[在個別資源上新增和刪除標籤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 若要刪除資源群組,請參閱[從中刪除群組 AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**若要使用 IAM 手動刪除 `AWSServiceRoleForAmazonSSM` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除`AWSServiceRoleForAmazonSSM`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForAmazonSSM` 服務連結角色的區域
Systems Manager 支援在 AWS 區域 提供服務的所有 中使用`AWSServiceRoleForAmazonSSM`服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用 角色來收集 OpsCenter和 AWS 帳戶 的資訊 Explorer
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForAmazonSSM_AccountDiscovery`**。 AWS Systems Manager 使用此 IAM 服務角色呼叫其他 AWS 服務 來探索 AWS 帳戶 資訊。
## 適用於 Systems Manager 帳戶探索的服務連結角色許可
`AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色信任下列服務以擔任角色:
+ `accountdiscovery.ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganizationalUnit`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ `organizations:ListChildren`
+ `organizations:ListParents`
+ `organizations:ListDelegatedServicesForAccount`
+ `organizations:ListDelegatedAdministrators`
+ `organizations:ListRoots`
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
如果您想要跨多個 AWS 帳戶使用 Explorer 和 OpsCenter (Systems Manager 中的工具),則必須建立服務連結角色。若為 OpsCenter,您必須手動建立服務連結角色。如需詳細資訊,請參閱[(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。
若為 Explorer,如果透過在 AWS 管理主控台中使用 Systems Manager 來建立資源資料同步,則您可以選擇 **Create role** (建立角色) 按鈕來建立服務連結角色。如果您想要以程式設計方式建立資源資料同步,則必須先建立角色,再建立資源資料同步。您可以使用 [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 操作建立角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
您必須先刪除所有 Explorer 資源資料同步,才能使用 IAM 刪除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
### 手動刪除 `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForAmazonSSM_AccountDiscovery`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForAmazonSSM_AccountDiscovery` 服務連結角色的區域
Systems Manager 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
## AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服務連接角色更新
檢視自從此服務開始追蹤這些變更以來對 AWSServiceRoleForAmazonSSM\$1AccountDiscovery 服務連結角色的更新的詳細資訊。如需有關此頁面變更的自動提醒,請訂閱 Systems Manager [文件歷史記錄](systems-manager-release-history.md) 頁面的 RSS 摘要。
| 變更 | 描述 | Date |
| --- | --- | --- |
| 已新增新許可 | 此服務連結角色現在包含 `organizations:DescribeOrganizationalUnit` 和 `organizations:ListRoots` 許可。這些許可可讓 AWS Organizations 管理帳戶或 Systems Manager 委派管理員帳戶OpsItems跨帳戶使用 。如需詳細資訊,請參閱[(選用) 手動設定 OpsCenter 以跨帳戶集中管理 OpsItems](OpsCenter-getting-started-multiple-accounts.md)。 | 2022 年 10 月 17 日 |
# 使用角色為 OpsItems 建立 OpsData 和 Explorer:
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForSystemsManagerOpsDataSync`**。 AWS Systems Manager 使用此 的 IAM 服務角色Explorer來建立 OpsData 和 OpsItems。
## 適用於 Systems Manager OpsData 資料同步的服務連結角色許可
`AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色信任下列服務以擔任角色:
+ `opsdatasync.ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ Systems Manager Explorer 要求服務連結角色在更新 OpsItem 時授予更新安全調查結果的許可、建立和更新 OpsItem,以及在客戶刪除 SSM 受管規則時關閉 Security Hub CSPM 資料來源。
用於為 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色提供許可的受管政策是 `AWSSystemsManagerOpsDataSyncServiceRolePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AWSSystemsManagerOpsDataSyncServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerOpsDataSyncServiceRolePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色
您不需要手動建立服務連結角色,當您在 Explorer中啟用 時 AWS 管理主控台, 會為您Systems Manager建立服務連結角色。
**重要**
此服務連結的角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。另外,若您在 2017 年 1 月 1 日之前使用 Systems Manager 服務 (那時起開始支援服務連結角色),Systems Manager 會於您的帳戶中建立 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 Explorer中啟用 時 AWS 管理主控台, 會再次為您Systems Manager建立服務連結角色。
您也可以使用 IAM 主控台透過**允許 Explorer 建立 OpsData 和 OpsItems 使用案例的AWS 服務角色**,建立服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`opsdatasync.ssm.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
刪除`AWSServiceRoleForSystemsManagerOpsDataSync`角色使用Systems Manager之資源的程序取決於您是否已設定ExplorerOpsCenter或與 Security Hub CSPM 整合。
**刪除 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色所使用的 Systems Manager 資源**
+ 若要Explorer停止OpsItems為 Security Hub CSPM 調查結果建立新的 ,請參閱 [如何停止接收調查結果](explorer-securityhub-integration.md#explorer-securityhub-integration-disable-receive)。
+ 若要OpsCenter停止OpsItems為 Security Hub CSPM 問題清單建立新的 ,請參閱
**若要使用 IAM 手動刪除 `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSystemsManagerOpsDataSync`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForSystemsManagerOpsDataSync` 服務連結角色的區域
Systems Manager 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
Systems Manager 不支援在每一個提供服務的區域中使用服務連結角色。您可以在下列區域中使用 `AWSServiceRoleForSystemsManagerOpsDataSync` 角色。
****
| AWS 區域 名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 使用角色在 Systems Manager OpsCenter 中建立操作洞察 OpsItems
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForAmazonSSM_OpsInsights`**。 AWS Systems Manager 使用此 IAM 服務角色在 Systems Manager 中建立和更新營運洞察 OpsItemsOpsCenter。
## 用於 Systems Manager 操作洞察 `AWSServiceRoleForAmazonSSM_OpsInsights` 的服務連結角色許可
`AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色信任下列服務以擔任角色:
+ `opsinsights.ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "AllowCreateOpsItem",
"Effect": "Allow",
"Action": [
"ssm:CreateOpsItem",
"ssm:AddTagsToResource"
],
"Resource": "*"
},
{
"Sid": "AllowAccessOpsItem",
"Effect": "Allow",
"Action": [
"ssm:UpdateOpsItem",
"ssm:GetOpsItem"
],
"Resource": "*",
"Condition": {
"StringEquals": {
"aws:ResourceTag/SsmOperationalInsight": "true"
}
}
}
]
}
```
------
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
您必須建立服務連結角色。如果您在 Systems Manager 中使用 啟用操作洞察 AWS 管理主控台,您可以選擇**啟用**按鈕來建立服務連結角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
您必須先在 Systems Manager OpsCenter 中停用操作洞察,才能使用 IAM 刪除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色。如需詳細資訊,請參閱[分析操作洞察以減少 OpsItems](OpsCenter-working-operational-insights.md)。
### 手動刪除 `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForAmazonSSM_OpsInsights`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForAmazonSSM_OpsInsights` 服務連結角色的區域
Systems Manager 不支援在提供服務的每個區域中使用服務連結角色。您可以在下列區域使用 AWSServiceRoleForAmazonSSM\$1OpsInsights 角色。
****
| 區域名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太地區 (香港) | ap-east-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 歐洲 (米蘭) | eu-south-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| Middle East (Bahrain) | me-south-1 | 是 |
| Africa (Cape Town) | af-south-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 是 |
| AWS GovCloud (US) | us-gov-east-1 | 是 |
# 使用角色來維護 Quick Setup 佈建的資源運作狀態和一致性
Systems Manager 使用名為 **`AWSServiceRoleForSSMQuickSetup`** 的服務連結角色。
## Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色許可
`AWSServiceRoleForSSMQuickSetup` 服務連結角色信任下列服務以擔任角色:
+ `ssm-quicksetup.amazonaws.com`
AWS Systems Manager 使用此 IAM 服務角色來檢查組態運作狀態、確保參數和佈建資源的一致使用,以及在偵測到偏離時修復資源。
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `ssm` (Systems Manager):讀取已設定資源預期狀態的相關資訊 (包括在委派管理員帳戶中)。
+ `iam` (AWS Identity and Access Management):這是在 AWS Organizations中跨整個組織存取資源資料同步的必要條件。
+ `organizations` (AWS Organizations):如 Organizations 中所設定,讀取屬於組織成員帳戶的相關資訊。
+ `cloudformation` (CloudFormation):讀取用於管理資源狀態和 CloudFormation 堆疊集操作的 CloudFormation 堆疊相關資訊。
用於為 `AWSServiceRoleForSSMQuickSetup` 角色提供許可的受管政策是 `SSMQuickSetupRolePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:SSMQuickSetupRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-SSMQuickSetupRolePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
您不需要手動建立 AWSServiceRoleForSSMQuickSetup 服務連結角色。如果在 AWS 管理主控台建立 Quick Setup 組態,Systems Manager 會為您建立服務連結角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSSMQuickSetup` 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,務必清除您的服務連結角色,之後才能以手動方式將其刪除。
### 清除 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
您必須先刪除使用該角色的 Quick Setup 組態,才可以使用 IAM 刪除 `AWSServiceRoleForSSMQuickSetup` 服務連結角色。如需詳細資訊,請參閱[編輯和刪除您的組態](quick-setup-using.md#quick-setup-edit-delete)。
### 手動刪除 `AWSServiceRoleForSSMQuickSetup` 服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSSMQuickSetup`服務連結角色。如需詳細資訊,請參閱下列主題:
+ 《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)
+ 《AWS CLI 參考》**中 Quick Setup 部分的 [https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html](https://docs.aws.amazon.com/cli/latest/reference/ssm-quicksetup/delete-configuration-manager.html)
+ *Quick Setup API 參考*中的 [https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html](https://docs.aws.amazon.com/quick-setup/latest/APIReference/API_DeleteConfigurationManager.html)
## 支援 Systems Manager `AWSServiceRoleForSSMQuickSetup` 服務連結角色的區域
Systems Manager 不支援在提供服務的每個區域中使用服務連結角色。您可以在下列區域使用 AWSServiceRoleForSSMQuickSetup 角色。
+ 美國東部 (俄亥俄)
+ 美國東部 (維吉尼亞北部)
+ 美國西部 (加利佛尼亞北部)
+ 美國西部 (奧勒岡)
+ 亞太區域 (孟買)
+ 亞太區域 (首爾)
+ 亞太區域 (新加坡)
+ 亞太地區 (雪梨)
+ 亞太區域 (東京)
+ 加拿大 (中部)
+ 歐洲 (法蘭克福)
+ 歐洲 (斯德哥爾摩)
+ 歐洲 (愛爾蘭)
+ 歐洲 (倫敦)
+ Europe (Paris)
+ 南美洲 (聖保羅)
# 使用角色匯出 Explorer OpsData
AWS Systems Manager Explorer 使用 **AmazonSSMExplorerExportRole** 服務角色,使用`AWS-ExportOpsDataToS3`自動化 Runbook 匯出操作資料 (OpsData)。
## Explorer 的服務連結角色許可
`AmazonSSMExplorerExportRole` 服務連結角色僅信任 `ssm.amazonaws.com` 服務擔任此角色。
您可以使用 `AmazonSSMExplorerExportRole` 服務連結角色,以 `AWS-ExportOpsDataToS3` Automation 執行手冊匯出操作資料 (OpsData)。您可以從 Explorer 將 5,000 個 OpsData 項目以逗號分隔值 (.csv) 檔案格式匯出至 Amazon Simple Storage Service (Amazon S3) 儲存貯體。
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `s3:PutObject`
+ `s3:GetBucketAcl`
+ `s3:GetBucketLocation`
+ `sns:Publish`
+ `logs:DescribeLogGroups`
+ `logs:DescribeLogStreams`
+ `logs:CreateLogGroup`
+ `logs:PutLogEvents`
+ `logs:CreateLogStream`
+ `ssm:GetOpsSummary`
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AmazonSSMExplorerExportRole` 服務連結角色
當您在 Systems Manager 主控台中使用 Explorer 匯出 OpsData 時,Systems Manager 會建立 `AmazonSSMExplorerExportRole` 服務連結角色。如需詳細資訊,請參閱[從 Systems Manager Explorer 匯出 OpsData](Explorer-exporting-OpsData.md)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。
## 編輯 Systems Manager 的 `AmazonSSMExplorerExportRole` 服務連結角色
Systems Manager 不允許您編輯 `AmazonSSMExplorerExportRole` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AmazonSSMExplorerExportRole` 服務連結角色
若您不再使用需要服務連結角色的任何功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。您可以使用 IAM 主控台 AWS CLI、 或 IAM API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
如果在您嘗試刪除標籤或資源組時 Systems Manager 服務正在使用該角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 `AmazonSSMExplorerExportRole` 所使用的 Systems Manager 資源**
1. 若要刪除標籤,請參閱[在個別資源上新增和刪除標籤](https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/Using_Tags.html#adding-or-deleting-tags)。
1. 若要刪除資源群組,請參閱[從中刪除群組 AWS Resource Groups](https://docs.aws.amazon.com/ARG/latest/userguide/deleting-resource-groups.html)。
**若要使用 IAM 手動刪除 `AmazonSSMExplorerExportRole` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除`AmazonSSMExplorerExportRole`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AmazonSSMExplorerExportRole` 服務連結角色的區域
Systems Manager 支援在 AWS 區域 提供服務的所有 中使用`AmazonSSMExplorerExportRole`服務連結角色。如需詳細資訊,請參閱 [AWS Systems Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/ssm.html)。
# 使用角色來啟用即時節點存取
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForSystemsManagerJustInTimeAccess`**。 AWS Systems Manager 使用此 IAM 服務角色來啟用just-in-time節點存取。
## Systems Manager 即時節點存取的服務連結角色許可
`AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色信任下列服務以擔任角色:
+ `ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `ssm:CreateOpsItem`
+ `ssm:GetOpsItem`
+ `ssm:UpdateOpsItem`
+ `ssm:DescribeOpsItems`
+ `ssm:DescribeSessions`
+ `ssm:ListTagsForResource`
+ `ssm-guiconnect:ListConnections`
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:DescribeUser`
+ `identitystore:GetGroupId`
+ `identitystore:GetUserId`
+ `sso-directory:DescribeUsers`
+ `sso-directory:IsMemberInGroup`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `ec2:DescribeTags`
用於為 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色提供許可的受管政策是 `AWSSystemsManagerEnableJustInTimeAccessPolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AWSSystemsManagerJustInTimeAccessServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerJustInTimeAccessServicePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色
您不需要手動建立服務連結角色,當您在 just-in-time節點存取時 AWS 管理主控台, 會為您Systems Manager建立服務連結角色。
**重要**
此服務連結的角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。另外,若您在 2024 年 11 月 19 日之前使用 Systems Manager 服務 (那時起開始支援服務連結角色),Systems Manager 會於您的帳戶中建立 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 just-in-time節點存取時 AWS 管理主控台, 會再次為您Systems Manager建立服務連結角色。
您也可以使用**允許 Systems Manager 啟用即時節點存取的AWS 服務角色**使用案例,在 IAM 主控台中建立服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`ssm.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**若要使用 IAM 手動刪除 `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSystemsManagerJustInTimeAccess`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForSystemsManagerJustInTimeAccess` 服務連結角色的區域
****
| AWS 區域 名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |
# 使用角色傳送即時節點存取請求通知
Systems Manager 使用名為 的服務連結角色**`AWSServiceRoleForSystemsManagerNotifications`**。 AWS Systems Manager 使用此 IAM 服務角色傳送通知以存取請求核准者。
## Systems Manager 即時節點存取通知的服務連結角色許可
`AWSServiceRoleForSystemsManagerNotifications` 服務連結角色信任下列服務以擔任角色:
+ `ssm.amazonaws.com`
此角色許可政策允許 Systems Manager 對指定資源完成下列動作:
+ `identitystore:ListGroupMembershipsForMember`
+ `identitystore:ListGroupMemberships`
+ `identitystore:DescribeUser`
+ `sso:ListInstances`
+ `sso:DescribeRegisteredRegions`
+ `sso:ListDirectoryAssociations`
+ `sso-directory:DescribeUser`
+ `sso-directory:ListMembersInGroup`
+ `iam:GetRole`
用於為 `AWSServiceRoleForSystemsManagerNotifications` 角色提供許可的受管政策是 `AWSSystemsManagerNotificationsServicePolicy`。如需授予許可的詳細資訊,請參閱 [AWS 受管政策:AWSSystemsManagerNotificationsServicePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-AWSSystemsManagerNotificationsServicePolicy)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 建立 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色
您不需要手動建立服務連結角色,當您在 just-in-time節點存取時 AWS 管理主控台, 會為您Systems Manager建立服務連結角色。
**重要**
此服務連結的角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。另外,若您在 2024 年 11 月 19 日之前使用 Systems Manager 服務 (那時起開始支援服務連結角色),Systems Manager 會於您的帳戶中建立 `AWSServiceRoleForSystemsManagerNotifications` 角色。若要進一步了解,請參閱[我的 IAM 帳戶中出現的新角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您在 just-in-time節點存取時 AWS 管理主控台, 會再次為您Systems Manager建立服務連結角色。
您也可以使用**允許 Systems Manager 向存取請求核准者傳送通知的AWS 服務角色**使用案例,在 IAM 主控台中建立服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`ssm.amazonaws.com`服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
## 編輯 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色
Systems Manager 不允許您編輯 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Systems Manager 的 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
若 Systems Manager 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**若要使用 IAM 手動刪除 `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除`AWSServiceRoleForSystemsManagerNotifications`服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## 支援 Systems Manager `AWSServiceRoleForSystemsManagerNotifications` 服務連結角色的區域
****
| AWS 區域 名稱 | 區域身分 | 在 Systems Manager 中支援 |
| --- | --- | --- |
| 美國東部 (維吉尼亞北部) | us-east-1 | 是 |
| 美國東部 (俄亥俄) | us-east-2 | 是 |
| 美國西部 (加利佛尼亞北部) | us-west-1 | 是 |
| 美國西部 (奧勒岡) | us-west-2 | 是 |
| 亞太區域 (孟買) | ap-south-1 | 是 |
| 亞太區域 (大阪) | ap-northeast-3 | 是 |
| 亞太區域 (首爾) | ap-northeast-2 | 是 |
| 亞太區域 (新加坡) | ap-southeast-1 | 是 |
| 亞太區域 (雪梨) | ap-southeast-2 | 是 |
| 亞太區域 (東京) | ap-northeast-1 | 是 |
| 加拿大 (中部) | ca-central-1 | 是 |
| 歐洲 (法蘭克福) | eu-central-1 | 是 |
| 歐洲 (愛爾蘭) | eu-west-1 | 是 |
| 歐洲 (倫敦) | eu-west-2 | 是 |
| 歐洲 (巴黎) | eu-west-3 | 是 |
| Europe (Stockholm) | eu-north-1 | 是 |
| 南美洲 (聖保羅) | sa-east-1 | 是 |
| AWS GovCloud (US) | us-gov-west-1 | 否 |