使用服務連結角色進行已驗證存取 - AWS 驗證存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用服務連結角色進行已驗證存取

AWS已驗證存取使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至已驗證存取權的唯一 IAM 角色類型。服務連結角色由「已驗證存取」預先定義,並包含服務代表您呼叫其他人所需AWS 服務的所有權限。

服務連結角色可讓您更輕鬆地設定已驗證存取,因為您不需要手動新增必要的權限。「已驗證存取」會定義其服務連結角色的權限,除非另有定義,否則只有「已驗證存取」可以擔任其角色。定義的許可包括信任政策和許可政策,而且此許可政策無法附加到任何其他 IAM 實體。

如需關於支援服務連結角色的其他服務資訊,請參閱《可搭配 IAM 運作的 AWS 服務》,尋找 Service-linked roles (服務連結角色) 欄中顯示為 Yes (是) 的服務。選擇具有連結的 Yes (是),以檢視該服務的服務連結角色文件。

已驗證存取權的服務連結角色權限

「已驗證存取」會使用指AWSServiceRoleForVPCVerifiedAccess定的服務連結角色,在您的帳戶中佈建使用服務所需的資源。

AWSServiceRoleForVPCVerifiedAccess 服務連結角色信任下列服務以擔任角色:

  • verified-access.amazonaws.com

角色權限原則 (名為 AWSVPCVerifiedAccessServiceRolePolicy) 允許「已驗證存取」在指定資源上完成下列動作:

  • ec2:CreateNetworkInterface對所有子網路和安全性群組,以及具有標籤的所有網路介面上執行動作 VerifiedAccessManaged=true

  • 建立時ec2:CreateTags對所有網路介面執行的動作

  • ec2:DeleteNetworkInterface在具有標籤的所有網路介面上執行動作 VerifiedAccessManaged=true

  • ec2:ModifyNetworkInterfaceAttribute對所有安全群組和具有此標籤的所有網路介面執行動作 VerifiedAccessManaged=true

您也可以在中檢視此策略的權限 AWS Management Console AWSVPCVerifiedAccessServiceRolePolicy,或者您可以在《AWS受管理的AWSVPCVerifiedAccessServiceRolePolicy策略參考指南》中檢視策略

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的服務連結角色許可

建立已驗證存取的服務連結角色

您不需要手動建立一個服務連結角色。當您呼叫CreateVerifiedAccessEndpoint、或 AWS API 時 AWS Management ConsoleAWS CLI,「已驗證存取」會為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您再CreateVerifiedAccessEndpoint次撥打電話時,「已驗證存取」會再次為您建立服務連結角色。

編輯已驗證存取權的服務連結角色

「已驗證存取」不允許您編輯AWSServiceRoleForVPCVerifiedAccess服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

刪除已驗證存取權的服務連結角色

您不需要手動刪除 AWSServiceRoleForVPCVerifiedAccess 角色。當您呼叫DeleteVerifiedAccessEndpoint、或 AWS API 時 AWS Management ConsoleAWS CLI,「已驗證存取」會為您清除資源並刪除服務連結角色。

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台、AWS CLI 或 AWS API 來刪除 AWSServiceRoleForVPCVerifiedAccess 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色

已驗證存取服務連結角色的支援區域

「已驗證存取」支援在所有可用服務的AWS 區域地方使用服務連結角色。如需詳細資訊,請參閱AWS區域和端點