本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
使用驗證存取的服務連結角色
AWS Verified Access 使用IAM服務連結角色,這是一種直接連結到 AWS 服務IAM的角色類型。Verified Access 的服務連結角色是由 Verified Access 定義,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。
服務連結角色可讓您更輕鬆地設定驗證存取,因為您不必手動新增必要的許可。Verified Access 會定義其服務連結角色的許可,除非另有定義,否則只有 Verified Access 才能擔任其角色。定義的許可包括信任政策和許可政策,且此許可政策無法連接到任何其他IAM實體。
Verified Access 的服務連結角色許可
Verified Access 使用名為 的服務連結角色AWSServiceRoleForVPCVerifiedAccess,在您的帳戶中佈建使用服務所需的資源。
AWSServiceRoleForVPCVerifiedAccess 服務連結角色信任下列服務以擔任角色:
-
verified-access.amazonaws.com
名為 的角色許可政策AWSVPCVerifiedAccessServiceRolePolicy允許 Verified Access 對指定的資源完成下列動作:
-
對所有子網路和安全群組以及具有 標籤的所有網路介面
ec2:CreateNetworkInterface
執行動作VerifiedAccessManaged=true
-
建立時所有網路介面
ec2:CreateTags
的動作 -
具有 標籤之所有網路介面
ec2:DeleteNetworkInterface
的動作VerifiedAccessManaged=true
-
所有安全群組和具有 標籤的所有網路介面
ec2:ModifyNetworkInterfaceAttribute
的動作VerifiedAccessManaged=true
您也可以在 AWS 受管政策參考指南中檢視此政策的許可;請參閱 AWSVPCVerifiedAccessServiceRolePolicy。
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱IAM《 使用者指南》中的服務連結角色許可。
為驗證存取建立服務連結角色
您不需要手動建立一個服務連結角色。當您CreateVerifiedAccessEndpoint呼叫 AWS Management Console、 AWS CLI或 時 AWS API,Verified Access 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您CreateVerifiedAccessEndpoint再次呼叫 時,Verified Access 會再次為您建立服務連結角色。
編輯已驗證存取的服務連結角色
Verified Access 不允許您編輯AWSServiceRoleForVPCVerifiedAccess服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱IAM《 使用者指南》中的編輯服務連結角色描述。
刪除已驗證存取的服務連結角色
您不需要手動刪除 AWSServiceRoleForVPCVerifiedAccess 角色。當您在 AWS Management Console、 AWS CLI或 AWS DeleteVerifiedAccessEndpoint中呼叫 API時,Verified Access 會清除資源,並為您刪除服務連結角色。
使用 IAM 手動刪除服務連結角色
使用 IAM 主控台 AWS CLI、 或 AWS API來刪除AWSServiceRoleForVPCVerifiedAccess服務連結角色。如需詳細資訊,請參閱IAM《 使用者指南》中的刪除服務連結角色。
Verified Access 服務連結角色支援的 區域
Verified Access 支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊,請參閱AWS 區域與端點。