使用驗證存取的服務連結角色 - AWS 已驗證的存取

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用驗證存取的服務連結角色

AWS Verified Access 使用IAM服務連結角色,這是一種直接連結到 AWS 服務IAM的角色類型。Verified Access 的服務連結角色是由 Verified Access 定義,並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。

服務連結角色可讓您更輕鬆地設定驗證存取,因為您不必手動新增必要的許可。Verified Access 會定義其服務連結角色的許可,除非另有定義,否則只有 Verified Access 才能擔任其角色。定義的許可包括信任政策和許可政策,且此許可政策無法連接到任何其他IAM實體。

Verified Access 的服務連結角色許可

Verified Access 使用名為 的服務連結角色AWSServiceRoleForVPCVerifiedAccess,在您的帳戶中佈建使用服務所需的資源。

AWSServiceRoleForVPCVerifiedAccess 服務連結角色信任下列服務以擔任角色:

  • verified-access.amazonaws.com

名為 的角色許可政策AWSVPCVerifiedAccessServiceRolePolicy允許 Verified Access 對指定的資源完成下列動作:

  • 對所有子網路和安全群組以及具有 標籤的所有網路介面ec2:CreateNetworkInterface執行動作 VerifiedAccessManaged=true

  • 建立時所有網路介面ec2:CreateTags的動作

  • 具有 標籤之所有網路介面ec2:DeleteNetworkInterface的動作 VerifiedAccessManaged=true

  • 所有安全群組和具有 標籤的所有網路介面ec2:ModifyNetworkInterfaceAttribute的動作 VerifiedAccessManaged=true

您也可以在 AWS 受管政策參考指南中檢視此政策的許可;請參閱 AWSVPCVerifiedAccessServiceRolePolicy

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱IAM《 使用者指南》中的服務連結角色許可

為驗證存取建立服務連結角色

您不需要手動建立一個服務連結角色。當您CreateVerifiedAccessEndpoint呼叫 AWS Management Console、 AWS CLI或 時 AWS API,Verified Access 會為您建立服務連結角色。

若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您CreateVerifiedAccessEndpoint再次呼叫 時,Verified Access 會再次為您建立服務連結角色。

編輯已驗證存取的服務連結角色

Verified Access 不允許您編輯AWSServiceRoleForVPCVerifiedAccess服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱IAM《 使用者指南》中的編輯服務連結角色描述

刪除已驗證存取的服務連結角色

您不需要手動刪除 AWSServiceRoleForVPCVerifiedAccess 角色。當您在 AWS Management Console、 AWS CLI或 AWS DeleteVerifiedAccessEndpoint中呼叫 API時,Verified Access 會清除資源,並為您刪除服務連結角色。

使用 IAM 手動刪除服務連結角色

使用 IAM 主控台 AWS CLI、 或 AWS API來刪除AWSServiceRoleForVPCVerifiedAccess服務連結角色。如需詳細資訊,請參閱IAM《 使用者指南》中的刪除服務連結角色

Verified Access 服務連結角色支援的 區域

Verified Access 支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊,請參閱AWS 區域與端點