将服务相关角色用于 AWS Health

AWS Health 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 AWS Health服务相关角色由 AWS Health 预定义，并包含相关服务为您调用其他 AWS 服务 所需的所有权限。

您可以使用服务相关角色进行设置， AWS Health 以避免手动添加必要的权限。 AWS Health 定义其服务相关角色的权限，除非另有定义，否则 AWS Health 只能担任其角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

AWS Health的服务相关角色权限

AWS Health 有两个与服务相关的角色：

• AWSServiceRoleForHealth_Organizations— 此角色信任 AWS Health (health.amazonaws.com) 代替您访问 AWS 服务 的角色。附属于此角色的是Health_OrganizationsServiceRolePolicy AWS 托管策略。

• AWSServiceRoleForHealth_EventProcessor— 此角色信任 AWS Health 服务主体 (event-processor.health.amazonaws.com) 代您担任该角色。附属于此角色的是AWSHealth_EventProcessorServiceRolePolicy AWS 托管策略。服务主体使用该角色为 AWS 事件检测和响应创建 Amazon EventBridge 托管规则。此规则是将警报状态变更信息从您的账户传送 AWS 账户 到您的账户所需的基础架构 AWS Health。

有关 AWS 托管策略的更多信息，请参阅AWS 的托管策略 AWS Health。

为 AWS Health创建服务相关角色

您无需创建 AWSServiceRoleForHealth_Organizations 服务相关角色。当您调用EnableHealthServiceAccessForOrganization操作时， AWS Health 会在账户中为您创建此服务相关角色。

您必须在账户中手动创建 AWSServiceRoleForHealth_EventProcessor 服务相关角色。有关更多信息，请参阅 IAM 用户指南 中的创建服务相关角色。

为 AWS Health编辑服务相关角色

AWS Health 不允许您编辑服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》中的编辑服务相关角色。

删除 AWS Health的服务相关角色

要删除该AWSServiceRoleForHealth_Organizations角色，必须先调用该DisableHealthServiceAccessForOrganization操作。然后，您可以通过 IAM 控制台、IAM API 或 AWS Command Line Interface (AWS CLI) 删除该角色。

要删除该AWSServiceRoleForHealth_EventProcessor角色，请联系 AWS Support 并要求他们将您的工作负载从 AWS 事件检测和响应中移除。完成此过程后，您可以通过 IAM 控制台、IAM API 或其他 AWS CLI删除任一角色。

相关信息

有关更多信息，请参阅《 IAM 用户指南》中的使用服务相关角色。