为 AWS 故障注入服务使用服务相关角色

AWS 故障注入服务使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的独特IAM角色类型。 AWS FIS服务相关角色由服务预定义 AWS FIS，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置变得 AWS FIS更加容易，因为您不必手动添加必要的权限来管理实验的监控和资源选择。 AWS FIS定义其服务相关角色的权限，除非另有定义，否则 AWS FIS只能担任其角色。定义的权限包括信任策略和权限策略，并且该权限策略不能附加到任何其他IAM实体。

除了服务相关角色外，您还必须指定一个IAM角色，该角色授予修改您在实验模板中指定为目标的资源的权限。有关更多信息，请参阅 适用于 AWS FIS 实验的 IAM 角色。

只有在先删除相关 资源后，才能删除服务相关角色。这样可以保护您的 AWS FIS资源，因为您不会无意中删除访问资源的权限。

的服务相关角色权限 AWS FIS

AWS FIS使用名为的服务关联角色使其AWSServiceRoleForFIS能够管理实验的监控和资源选择。

AWSServiceRoleForFIS服务相关角色信任以下服务来代入该角色：

• fis.amazonaws.com

AWSServiceRoleForFIS服务相关角色使用托管策略 A。mazonFISService RolePolicy此策略 AWS FIS允许管理实验的监控和资源选择。有关更多信息，请参阅《AWS 托管策略参考》mazonFISServiceRolePolicy中的 A。

必须配置权限以允许实IAM体（例如用户、组或角色）创建、编辑或删除服务相关角色。要成功创建AWSServiceRoleForFIS服务相关角色，您使用的IAM身份必须 AWS FIS具有所需的权限。要授予所需权限，请将以下策略附加到IAM身份。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "fis.amazonaws.com"
                }
            }
        }
    ]
}

有关更多信息，请参阅《IAM用户指南》中的服务相关角色权限。

为创建服务相关角色 AWS FIS

您无需手动创建服务相关角色。当你在 AWS Management Console、或中开始 AWS FIS实验时 AWS CLI，会 AWS API为你 AWS FIS创建服务相关角色。

如果您删除该服务相关角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您开始 AWS FIS实验时， AWS FIS会再次为您创建服务相关角色。

编辑的服务相关角色 AWS FIS

AWS FIS不允许您编辑AWSServiceRoleForFIS服务相关角色。创建服务相关角色后，将无法更改角色名称，因为可能有多个实体引用该角色。但是，您可以使用编辑角色的描述IAM。有关更多信息，请参阅IAM用户指南中的编辑服务相关角色。

删除的服务相关角色 AWS FIS

如果不再需要使用某个需要服务相关角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，必须先清除服务相关角色的资源，然后才能手动删除它。

注意

如果您尝试清理资源时 AWS FIS服务正在使用该角色，则清理可能会失败。如果发生这种情况，请等待几分钟后重试。

清理所使用的 AWS FIS资源 AWSServiceRoleForFIS

请确保您目前没有运行任何实验。如有必要，请停止实验。有关更多信息，请参阅 停止实验。

使用手动删除服务相关角色 IAM

使用IAM控制台 AWS CLI、或删除AWSServiceRoleForFIS服务相关角色。 AWS API有关更多信息，请参阅IAM用户指南中的删除服务相关角色。

AWS FIS 服务相关角色的受支持区域

AWS FIS支持在提供服务的所有地区使用服务相关角色。有关更多信息，请参阅 AWS Fault Injection Service 端点和限额。