**推出 的新主控台體驗 AWS WAF**
您現在可以使用更新後的體驗,在主控台的任何位置存取 AWS WAF 功能。如需詳細資訊,請參閱[使用 主控台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Firewall Manager 的服務連結角色
AWS Firewall Manager use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Firewall Manager 的唯一 IAM 角色類型。服務連結角色由 Firewall Manager 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 Firewall Manager,因為您不必手動新增必要的許可。Firewall Manager 定義其服務連結角色的許可,除非另有定義,否則只有 Firewall Manager 可以擔任其角色。已定義的許可包括信任政策和許可政策。該許可政策無法連接至其他任何 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 Firewall Manager 資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Firewall Manager 的服務連結角色許可
AWS Firewall Manager 使用服務連結角色名稱 AWSServiceRoleForFMS,讓 Firewall Manager 代表您呼叫 AWS 服務,以管理防火牆政策和 AWS Organizations 帳戶資源。此政策會連接至 AWS 受管角色 `AWSServiceRoleForFMS`。如需受管角色的詳細資訊,請參閱 [AWS 受管政策: `FMSServiceRolePolicy`](fms-security-iam-awsmanpol.md#security-iam-awsmanpol-FMSServiceRolePolicy)。
AWSServiceRoleForFMS 服務連結角色信任服務擔任角色 `fms.amazonaws.com`。
角色許可政策允許 Firewall Manager 對指定的資源完成下列動作:
+ `waf` - 管理您帳戶中 AWS WAF 的 Classic Web ACLs、規則群組許可和 Web ACLs 關聯。
+ `ec2` - 在彈性網路介面和 Amazon EC2 執行個體上管理安全群組。管理 Amazon VPC 子網路上的網路 ACLs。
+ `vpc` - 在 Amazon VPC 中管理子網路、路由表、標籤和端點。
+ `wafv2` - 管理您帳戶中的 AWS WAF Web ACL、規則群組許可和 Web ACLs 關聯。 ACLs
+ `cloudfront` - 建立 Web ACLs 以保護 CloudFront 分佈。
+ `config` - 管理您帳戶中 Firewall Manager 擁有的 AWS Config 規則。
+ `iam` - 管理此服務連結角色,並在設定 AWS WAF 和 Shield 政策的記錄時建立必要的 AWS WAF 和 Shield 服務連結角色。
+ `organization` - 建立 Firewall Manager 擁有的服務連結角色,以管理 Firewall Manager 使用 AWS Organizations 的資源。
+ `shield` - 管理您帳戶中資源的 AWS Shield 保護和 L7 緩解組態。
+ `ram` - 管理 DNS Firewall 規則群組和 Network Firewall 規則群組 AWS RAM 的資源共用。
+ `network-firewall` - 管理您帳戶中 Firewall Manager 擁有 AWS Network Firewall 的資源和相依的 Amazon VPC 資源。
+ `route53resolver` - 管理您帳戶中 Firewall Manager 擁有的 DNS 防火牆關聯。
請參閱 IAM 主控台中的完整政策:[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 為 Firewall Manager 建立服務連結角色
您不需要手動建立服務連結角色,當您在 上啟用 Firewall Manager 記錄 AWS 管理主控台,或在 Firewall Manager CLI 或 Firewall Manager API 中提出`PutLoggingConfiguration`請求時,防火牆管理員會為您建立服務連結角色。
您必須擁有 `iam:CreateServiceLinkedRole` 許可才能啟用記錄。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您啟用 Firewall Manager 記錄時,防火牆管理員會再次為您建立服務連結角色。
## 編輯 Firewall Manager 的服務連結角色
Firewall Manager 不允許您編輯 AWSServiceRoleForFMS 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Firewall Manager 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果 Firewall Manager 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**使用 IAM 刪除服務連結角色**
使用 IAM 主控台、IAM CLI 或 IAM API 來刪除 AWSServiceRoleForFMS 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Firewall Manager 服務連結角色支援的 區域
Firewall Manager 支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [Firewall Manager 端點和配額](https://docs.aws.amazon.com/general/latest/gr/firewallmanager.html)。