本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

将服务相关角色用于 AWS Config

AWS Config 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的独特IAM角色类型。 AWS Config服务相关角色由服务预定义 AWS Config ，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置变得 AWS Config 更加容易，因为您不必手动添加必要的权限。 AWS Config 定义其服务相关角色的权限，除非另有定义，否则 AWS Config 只能担任其角色。定义的权限包括信任策略和权限策略，并且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其他服务的信息，请参阅与之配合使用的AWS 服务，IAM并在 “服务相关角色” 列中查找标有 “是” 的服务。选择是和链接，查看该服务的服务相关角色文档。

的服务相关角色权限 AWS Config

AWS Config 使用名为的服务相关角色 AWSConfigServiceRolePolicy— AWS Config 使用此服务相关角色代表您调用其他 AWS 服务。

AWSConfigServiceRolePolicy 服务相关角色信任 config.amazonaws.com 服务来代入角色。

该AWSConfigServiceRolePolicy角色的权限策略包含 AWS Config 资源的只读和只写权限，以及其他支持的服务中资源的只读权限。 AWS Config 要查看托管策略 AWSConfigServiceRolePolicy，请参阅AWS 托管策略 AWS Config。有关更多信息，请参阅 支持的资源类型 AWS Config。

您必须配置权限以允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅《IAM用户指南》中的服务相关角色权限。

要将服务相关角色与配合使用 AWS Config，您必须在 Amazon S3 存储桶和 Amazon SNS 主题上配置权限。有关更多信息，请参阅使用服务相关角色时 Amazon S3 Bucket 存储桶的必需权限、使用服务相关角色时 AWS KMS 密钥所需的权限（S3 存储桶交付）和使用服务相关角色时 Amazon SNS 主题所需的权限。

为创建服务相关角色 AWS Config

在IAMCLI或中 IAMAPI，使用服务名称创建服务相关角色。config.amazonaws.com有关更多信息，请参阅IAM用户指南中的创建服务相关角色。如果您删除了此服务相关角色，可以使用同样的过程再次创建角色。

编辑的服务相关角色 AWS Config

AWS Config 不允许您编辑AWSConfigServiceRolePolicy服务相关角色。创建服务相关角色后，将无法更改角色名称，因为可能有多个实体引用该角色。但是，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅IAM用户指南中的编辑服务相关角色。

删除的服务相关角色 AWS Config

如果不再需要使用某个需要服务相关角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，必须先清除服务相关角色的资源，然后才能手动删除它。

要删除使用的 AWS Config 资源 AWSConfigServiceRolePolicy

确保您没有使用服务相关角色的 ConfigurationRecorders。您可以使用 AWS Config 控制台停止配置记录器。要停止记录，请选择 Recording is on (记录已打开) 下的 Turn off (关闭)。

您可以删除ConfigurationRecorder使用 AWS Config API。要删除，请使用 delete-configuration-recorder 命令。

        $ aws configservice delete-configuration-recorder --configuration-recorder-name default
      

使用 IAM 手动删除服务相关角色

使用IAM控制台IAMCLI、或删除 AWSConfigServiceRolePolicy服务相关角色。IAM API有关更多信息，请参阅IAM用户指南中的删除服务相关角色。