使用服務連結角色進行驗證存取

AWS Verified Access 使用 IAM 服務連結角色，這是直接連結至 AWS 服務的 IAM 角色類型。Verified Access 的服務連結角色是由 Verified Access 定義，並包含該服務 AWS 服務 代表您呼叫其他 所需的所有許可。

服務連結角色可讓您更輕鬆地設定 Verified Access，因為您不必手動新增必要的許可。Verified Access 會定義其服務連結角色的許可，除非另有定義，否則只有 Verified Access 可以擔任其角色。定義的許可包括信任政策和許可政策，而且此許可政策無法連接到任何其他 IAM 實體。

Verified Access 的服務連結角色許可

Verified Access 使用名為 AWSServiceRoleForVPCVerifiedAccess 的服務連結角色，在您帳戶中佈建使用服務所需的資源。

AWSServiceRoleForVPCVerifiedAccess 服務連結角色信任下列服務擔任該角色：

• verified-access.amazonaws.com

名為 AWSVPCVerifiedAccessServiceRolePolicy 的角色許可政策允許 Verified Access 對指定的資源完成下列動作：

• 對所有子網路和安全群組以及具有 標籤的所有網路介面ec2:CreateNetworkInterface執行動作 VerifiedAccessManaged=true

• 建立時所有網路介面ec2:CreateTags的動作

• 具有 標籤之所有網路介面ec2:DeleteNetworkInterface上的動作 VerifiedAccessManaged=true

• 具有 標籤的所有安全群組和所有網路介面ec2:ModifyNetworkInterfaceAttribute的動作 VerifiedAccessManaged=true

您也可以在 AWS 受管政策參考指南中檢視此政策的許可；請參閱 AWSVPCVerifiedAccessServiceRolePolicy。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 IAM 使用者指南中的服務連結角色許可。

建立已驗證存取的服務連結角色

您不需要手動建立一個服務連結角色。當您在 AWS Management Console、 AWS CLI或 API 中呼叫 CreateVerifiedAccessEndpoint 時 AWS ，Verified Access 會為您建立服務連結角色。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您再次呼叫 CreateVerifiedAccessEndpoint 時，Verified Access 會再次為您建立服務連結角色。

編輯已驗證存取的服務連結角色

Verified Access 不允許您編輯 AWSServiceRoleForVPCVerifiedAccess 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《IAM 使用者指南》中的編輯服務連結角色描述。

刪除已驗證存取的服務連結角色

您不需要手動刪除 AWSServiceRoleForVPCVerifiedAccess 角色。當您在 AWS Management Console、 AWS CLI或 API 中呼叫 DeleteVerifiedAccessEndpoint 時 AWS ，Verified Access 會為您清除資源並刪除服務連結角色。

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForVPCVerifiedAccess 服務連結角色。如需詳細資訊，請參閱《IAM 使用者指南》中的刪除服務連結角色。

Verified Access 服務連結角色支援的 區域

Verified Access 支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊，請參閱AWS 區域與端點。