本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用 Amazon WorkSpaces 安全瀏覽器的服務連結角色
Amazon WorkSpaces 安全瀏覽器使用 AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 WorkSpaces 安全瀏覽器的唯一 IAM 角色類型。服務連結角色由 WorkSpaces 安全瀏覽器預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您更輕鬆地設定 WorkSpaces 安全瀏覽器,因為您不必手動新增必要的許可。WorkSpaces 安全瀏覽器會定義其服務連結角色的許可,除非另有定義,否則只有 WorkSpaces 安全瀏覽器才能擔任其角色。已定義的許可包括信任和許可政策。許可政策無法附加到其他任何 IAM 實體。
您必須先刪除角色的相關資源,才能刪除服務連結角色。這可保護您的 WorkSpaces 安全瀏覽器資源,因為您不會不小心移除存取資源的許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並尋找 **Service-Linked Role** (服務連結角色) 欄顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
**Topics**
+ [
# WorkSpaces 安全瀏覽器的服務連結角色許可
](slr-permissions.md)
+ [
# 為 WorkSpaces 安全瀏覽器建立服務連結角色
](create-slr.md)
+ [
# 編輯 WorkSpaces 安全瀏覽器的服務連結角色
](edit-slr.md)
+ [
# 刪除 WorkSpaces 安全瀏覽器的服務連結角色
](delete-slr.md)
+ [
# WorkSpaces 安全瀏覽器服務連結角色支援的區域
](slr-regions.md)
# WorkSpaces 安全瀏覽器的服務連結角色許可
WorkSpaces 安全瀏覽器使用名為 的服務連結角色 `AWSServiceRoleForAmazonWorkSpacesWeb` – WorkSpaces 安全瀏覽器使用此服務連結角色來存取客戶帳戶的 Amazon EC2 資源,以進行串流執行個體和 CloudWatch 指標。
`AWSServiceRoleForAmazonWorkSpacesWeb` 服務連結角色信任下列服務以擔任角色:
+ `workspaces-web.amazonaws.com`
名為 的角色許可政策`AmazonWorkSpacesWebServiceRolePolicy`允許 WorkSpaces 安全瀏覽器對指定的資源完成下列動作。如需詳細資訊,請參閱[AWS 受管政策:AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)。
+ 動作:`all AWS resources` 上的 `ec2:DescribeVpcs`
+ 動作:`all AWS resources` 上的 `ec2:DescribeSubnets`
+ 動作:`all AWS resources` 上的 `ec2:DescribeAvailabilityZones`
+ 動作:在子網路和安全群組資源上具有 `aws:RequestTag/WorkSpacesWebManaged: true` 的 `ec2:CreateNetworkInterface`
+ 動作:`all AWS resources` 上的 `ec2:DescribeNetworkInterfaces`
+ 動作:在網路介面上具有 `aws:ResourceTag/WorkSpacesWebManaged: true` 的 `ec2:DeleteNetworkInterface`
+ 動作:`all AWS resources` 上的 `ec2:DescribeSubnets`
+ 動作:`all AWS resources` 上的 `ec2:AssociateAddress`
+ 動作:`all AWS resources` 上的 `ec2:DisassociateAddress`
+ 動作:`all AWS resources` 上的 `ec2:DescribeRouteTables`
+ 動作:`all AWS resources` 上的 `ec2:DescribeSecurityGroups`
+ 動作:`all AWS resources` 上的 `ec2:DescribeVpcEndpoints`
+ 動作:`ec2:CreateNetworkInterface` 上的 `ec2:CreateTags` 使用 `aws:TagKeys: ["WorkSpacesWebManaged"]` 進行操作
+ 動作:`all AWS resources` 上的 `cloudwatch:PutMetricData`
+ 動作:在名稱開頭為 `amazon-workspaces-web-` 之 Kinesis 資料串流上的 `kinesis:PutRecord`
+ 動作:在名稱開頭為 `amazon-workspaces-web-` 之 Kinesis 資料串流上的 `kinesis:PutRecords`
+ 動作:在名稱開頭為 `amazon-workspaces-web-` 之 Kinesis 資料串流上的 `kinesis:DescribeStreamSummary`
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
# 為 WorkSpaces 安全瀏覽器建立服務連結角色
您不需要手動建立服務連結角色,當您在 AWS 管理主控台、 AWS CLI或 AWS API 中建立第一個入口網站時,WorkSpaces 安全瀏覽器會為您建立服務連結角色。
**重要**
此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立第一個入口網站時,WorkSpaces 安全瀏覽器會再次為您建立服務連結角色。
您也可以使用 IAM 主控台,透過 **WorkSpaces 安全瀏覽器**使用案例建立服務連結角色。在 AWS CLI 或 AWS API 中,使用服務名稱建立`workspaces-web.amazonaws.com`服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。
# 編輯 WorkSpaces 安全瀏覽器的服務連結角色
WorkSpaces 安全瀏覽器不允許您編輯`AWSServiceRoleForAmazonWorkSpacesWeb`服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
# 刪除 WorkSpaces 安全瀏覽器的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
**注意**
如果您嘗試刪除資源時WorkSpaces 安全瀏覽器服務正在使用 角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
**刪除 WorkSpaces 所使用的 WorkSpaces 安全瀏覽器資源 AWSServiceRoleForAmazonWorkSpacesWeb**
+ 選擇下列任一選項:
+ 如果您使用主控台,請刪除主控台上的所有入口網站。
+ 如果您使用 CLI 或 API,請取消所有資源 (包括瀏覽器設定、網路設定、使用者設定、信任存放區和使用者存取日誌記錄設定) 與入口網站的關聯,刪除這些資源,然後刪除入口網站。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForAmazonWorkSpacesWeb 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
# WorkSpaces 安全瀏覽器服務連結角色支援的區域
WorkSpaces 安全瀏覽器支援在提供服務的所有區域中使用服務連結角色。如需詳細資訊,請參閱 [AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。