将服务相关角色用于 Verified Access

AWS Verified Access 使用 IAM 服务相关角色，这是一种直接链接到 AWS 服务的 IAM 角色。Verified Access 的服务相关角色由 Verified Access 定义，包括该服务 AWS 服务 代表您呼叫他人所需的所有权限。

服务相关角色可让您更轻松地设置 Verified Access，因为您不必手动添加必要的权限。Verified Access 定义其服务相关角色的权限，除非另外定义，否则只有 Verified Access 可以代入该角色。定义的权限包括信任策略和权限策略，并且此权限策略不能附加到任何其他 IAM 实体。

Verified Access 的服务相关角色权限

Verified Ac AWSServiceRoleForVPCVerifiedces s 使用名为 Access 的服务相关角色在您的账户中配置使用该服务所需的资源。

A AWSServiceRoleForVPCVerifiedcces s 服务相关角色信任以下服务来代入该角色：

• verified-access.amazonaws.com

名为的角色权限策略允许 AWSVPCVerifiedAccessServiceRolePolicyVerified Access 对指定资源完成以下操作：

• 对所有子网和安全组以及所有带有 VerifiedAccessManaged=true 标签的网络接口执行操作 ec2:CreateNetworkInterface

• 创建时对所有网络接口执行操作 ec2:CreateTags

• 对所有带有 VerifiedAccessManaged=true 标签的网络接口执行操作 ec2:DeleteNetworkInterface

• 对所有安全组以及所有带有 VerifiedAccessManaged=true 标签的网络接口执行操作 ec2:ModifyNetworkInterfaceAttribute

您也可以在《AWS 托管策略参考指南》中查看此策略的权限；请参阅AWSVPCVerifiedAccessServiceRolePolicy。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的服务相关角色权限。

为 Verified Access 创建服务相关角色

您无需手动创建服务相关角色。当您调用CreateVerifiedAccessEndpoint AWS Management Console、或 AWS API 时， AWS CLI Verified Access 会为您创建服务相关角色。

如果您删除该服务相关角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您CreateVerifiedAccessEndpoint再次致电时，Verified Access 会再次为您创建服务相关角色。

编辑 Verified Access 的服务相关角色

已验证访问权限不允许您编辑 A AWSServiceRoleForVPCVerifiedccess 服务相关角色。创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》中的编辑服务相关角色描述。

删除 Verified Access 的服务相关角色

您无需手动删除AWSServiceRoleForVPCVerified访问角色。当您调用DeleteVerifiedAccessEndpoint AWS Management Console、或 AWS API 时 AWS CLI，Verified Access 会清理资源并为您删除服务相关角色。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台 AWS CLI、或 AWS API 删除 A AWSServiceRoleForVPCVerifiedccess 服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的删除服务相关角色。

Verified Access 服务相关角色的受支持区域

Verified Access 支持在所有提供服务 AWS 区域 的地方使用服务相关角色。有关更多信息，请参阅AWS 区域和端点。