AWS Global Accelerator的服务相关角色 - AWS Global Accelerator
Global Accelerator 的服务相关角色权限创建 Global Accelerator 的服务相关角色编辑 Global Acelerator 服务相关角色删除 Global Acelerator 服务相关角色服务相关角色策略更新

AWS Global Accelerator的服务相关角色

AWS Global Accelerator 使用 AWS Identity and Access Management(IAM)服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Global Accelerator 直接相关。服务相关角色是由 Global Accelerator 预定义的,包含该服务代表您调用其它 AWS 服务所需的所有权限。

服务相关角色可让您更轻松地设置 Global Accelerator,因为您不必手动添加必要的权限。Global Accelerator 定义其服务相关角色的权限,除非另外定义,否则只有 Global Accelerator 可以代入其角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其它 IAM 实体。

只有在首先删除服务相关角色的相关资源后,才能删除该角色。这将保护您的 Global Accelerator 资源,因为您不会无意中删除对资源的访问权限。

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务,并查找 Service-linked role(服务相关角色)列中显示为 Yes(是)的服务。选择和链接,查看该服务的服务相关角色文档。

Global Accelerator 的服务相关角色权限

AWS Global Accelerator 使用名为 AWSServiceRoleForGlobalAccelerator 的服务相关角色。此角色允许 Global Accelerator 访问您账户中的资源,例如负载均衡器和其它端点,以帮助确保您只能添加配置为与 Global Accelerator 配合使用的资源。AWSServiceRoleForGlobalAccelerator 角色还允许 Global Accelerator 创建和管理客户端 IP 地址保留所需的资源。

当首次需要该角色来支持 Global Accelerator API 操作时,Global Accelerator 会自动创建名为 AWSServiceRoleForGlobalAccelerator 的角色。在 Global Accelerator 中使用加速器需要此角色。AWSServiceRoleForGlobalAccelerator 角色的 ARN 与以下内容类似:

arn:aws:iam::123456789012:role/aws-service-role/globalaccelerator.amazonaws.com/AWSServiceRoleForGlobalAccelerator

服务相关角色权限

Global Accelerator 使用名为 AWSServiceRoleForGlobalAccelerator 的服务相关角色来访问资源和配置以检查准备情况。此服务相关角色使用托管策略 AWSGlobalAcceleratorSLRPolicy

AWSServiceRoleForGlobalAccelerator 服务相关角色信任以下服务来代入该角色:

  • globalaccelerator.amazonaws.com

要查看此策略的权限,请参阅《AWS 托管策略参考》中的 AWSGlobalAcceleratorSLRPolicy

您必须配置权限以允许 IAM 实体(如用户、组或角色)删除 Global Accelerator 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

创建 Global Accelerator 的服务相关角色

不要手动创建 Global Accelerator 的服务相关角色。在首次创建加速器时,该服务会自动为您创建角色。如果移除 Global Accelerator 资源并删除服务相关角色,则在创建新加速器时,该服务会自动重新创建该角色。

编辑 Global Acelerator 服务相关角色

Global Accelerator 不允许您编辑 AWSServiceRoleForGlobalAccelerator 服务相关角色。在该服务创建服务相关角色后,您无法更改该角色的名称,因为不同的实体可能会引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 Global Acelerator 服务相关角色

如果不再需要使用 Global Accelerator,建议删除服务相关角色。这样,就不会主动监控或维护您的未使用实体。但是,您必须先清除账户中的 Global Accelerator 资源,然后才能手动删除角色。

禁用并删除加速器后,您可以删除服务相关角色。有关删除加速器的更多信息,请参阅 创建加速器

注意

如果您已禁用并删除加速器,但 Global Accelerator 尚未完成更新,删除服务相关角色可能会失败。如果发生这种情况,请等待几分钟,然后重试服务相关角色删除步骤。

要手动删除 AWSServiceRoleForGlobalAccelerator 服务相关角色,请执行以下操作

  1. 登录 AWS Management Console,打开 IAM 控制台:https://console.aws.amazon.com/iam/

  2. 在 IAM 控制台的导航窗格中,选择角色。然后,选中要删除的角色名称旁边的复选框,而不是名称或行本身。

  3. 对于页面顶部的角色操作,请选择删除角色

  4. 在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问AWS服务的时间。这样可帮助您确认角色当前是否处于活动状态。如果要继续,请选择 Yes, Delete 以提交服务相关角色进行删除。

  5. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色删除是异步的,因此,在您提交角色进行删除后,删除任务可能成功,也可能失败。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

Global Accelerator 服务相关角色的策略更新

有关 AWSGlobalAcceleratorSLRPolicy(即 Global Accelerator 服务相关角色的 AWS 托管策略)的更新,请参阅 AWS 托管策略更新表。您也可以在 AWS Global Accelerator 文档历史记录页面上订阅自动 RSS 提醒。