服務連結角色 AWS Direct Connect - AWS Direct Connect
服務連結角色權限 AWS Direct Connect建立服務連結角色 AWS Direct Connect編輯下列項目的服務連結角色 AWS Direct Connect刪除下列項目的服務連結角色 AWS Direct Connect支援 AWS Direct Connect 服務連結角色的區域

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

服務連結角色 AWS Direct Connect

AWS Direct Connect 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至 AWS Direct Connect的唯一IAM角色類型。服務連結角色由預先定義, AWS Direct Connect 並包含服務代表您呼叫其他服 AWS 務所需的所有權限。

服務連結角色可讓您 AWS Direct Connect 更輕鬆地設定,因為您不需要手動新增必要的權限。 AWS Direct Connect 定義其服務連結角色的權限,除非另有定義,否則只 AWS Direct Connect 能擔任其角色。定義的權限包括信任原則和權限原則,而且該權限原則無法附加至任何其他IAM實體。

您必須先刪除服務連結角色的相關資源,才能將其刪除。這樣可以保護您的 AWS Direct Connect 資源,因為您無法不小心移除存取資源的權限。

如需支援服務連結角色之其他服務的相關資訊,請參閱使用的AWS 服務,IAM並在服務連結角色欄中尋找具有的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

服務連結角色權限 AWS Direct Connect

AWS Direct Connect 使用名為AWSServiceRoleForDirectConnect的服務連結角色。這允許 AWS Direct Connect 以您的名義檢索存儲 AWS Secrets Manager 在中的MACSec分泌物。

AWSServiceRoleForDirectConnect 服務連結角色信任下列服務以擔任角色:

  • directconnect.amazonaws.com

AWSServiceRoleForDirectConnect 服務連結角色使用受管政策 AWSDirectConnectServiceRolePolicy

您必須設定權限,才能允許IAM實體 (例如使用者、群組或角色) 建立、編輯或刪除服務連結角色。若要成功建立AWSServiceRoleForDirectConnect服務連結角色, AWS Direct Connect 搭配使用的IAM身分識別必須具有必要的權限。若要授與所需權限,請將下列原則附加至IAM身分識別。

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Action": "iam:CreateServiceLinkedRole",
            "Condition": {
                "StringLike": {
                    "iam:AWSServiceName": "directconnect.amazonaws.com"
                }
            },
            "Effect": "Allow",
            "Resource": "*"
        },
        {
            "Action": "iam:GetRole",
            "Effect": "Allow",
            "Resource": "*"
       }
    ]
}

如需詳細資訊,請參閱IAM使用指南中的服務連結角色權限

建立服務連結角色 AWS Direct Connect

您不需要手動建立服務連結角色。 AWS Direct Connect 為您建立服務連結角色。當您執行associate-mac-sec-key命令時, AWS 會建立服務連結角色,以 AWS Direct Connect 便擷取代表您 AWS Secrets Manager 在 AWS Management Console AWS CLI、或中儲存的MACsec密碼。 AWS API

重要

此服務連結角色可以顯示在您的帳戶,如果您於其他服務中完成一項動作時,可以使用支援此角色的功能。若要深入瞭解,請參閱我的IAM帳戶中出現新角色

如果您刪除此服務連結角色,然後需要再次建立角色,則可以使用相同的程序在帳戶中重新建立角色。 AWS Direct Connect 再次為您建立服務連結角色。

您也可以使用IAM主控台建立具有「 AWS 直接連線」使用案例的服務連結角色。在 AWS CLI 或中 AWS API,使用directconnect.amazonaws.com服務名稱建立服務連結角色。如需詳細資訊,請參閱IAM使用指南中的建立服務連結角色。如果您刪除此服務連結角色,您可以使用此相同的程序以再次建立該角色。

編輯下列項目的服務連結角色 AWS Direct Connect

AWS Direct Connect 不允許您編輯AWSServiceRoleForDirectConnect服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。但是,您可以使用編輯角色的描述IAM。如需詳細資訊,請參閱IAM使用指南中的編輯服務連結角色

刪除下列項目的服務連結角色 AWS Direct Connect

您不需要手動刪除 AWSServiceRoleForDirectConnect 角色。當您刪除服務連結的角色時,您必須刪除儲存在 AWS Secrets Manager Web 服務中的所有關聯資源。 AWS Management Console AWS CLI、或 AWS Direct Connect 清除資源 AWS API,並為您刪除服務連結角色。

您也可以使用主IAM控台刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能刪除它。

注意

當您嘗試刪除資源時,如果 AWS Direct Connect 服務正在使用此角色,則刪除可能會失敗。若此情況發生,請等待數分鐘,然後再次嘗試操作。

若要刪除使用的 AWS Direct Connect 資源 AWSServiceRoleForDirectConnect

  1. 刪除所有MACsec密鑰和連接之間的關聯。如需詳細資訊,請參閱 刪除MACsec密鑰和 AWS Direct Connect 連接之間的關聯

  2. 刪除所有MACsec密鑰和之間的關聯LAGs。如需詳細資訊,請參閱 移除MACsec秘密金鑰與 AWS Direct Connect 端點之間的關聯 LAG

若要使用手動刪除服務連結角色 IAM

使用IAM主控台 AWS CLI、或刪除AWSServiceRoleForDirectConnect服務連結角色。 AWS API如需詳細資訊,請參閱IAM使用指南中的刪除服務連結角色

支援 AWS Direct Connect 服務連結角色的區域

AWS Direct Connect 支援在所有MAC安全性功能可用的 AWS 區域 地方使用服務連結角色。如需詳細資訊,請參閱 AWS Direct Connect 據點