本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
的服務連結角色 AWS Outposts
AWS Outposts use AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是一種直接連結至 的服務角色類型 AWS Outposts。 AWS Outposts 會定義服務連結角色,並包含代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓您的 設定 AWS Outposts 更有效率,因為您不必手動新增必要的許可。 AWS Outposts 會定義其服務連結角色的許可,除非另有定義,否則只能 AWS Outposts 擔任其角色。定義的許可包括信任政策和許可政策,並且該許可政策不能連接到任何其他 IAM 實體。
您必須先刪除相關的 資源,才能刪除服務連結角色。這可保護您的 AWS Outposts 資源,因為您不會不小心移除存取資源的許可。
的服務連結角色許可 AWS Outposts
AWS Outposts 使用名為 AWSServiceRoleForOutposts_OutpostID 的服務連結角色。此角色授予 Outpost 管理聯網資源的許可,以代表您啟用私有連線。此角色也允許 Outposts 建立和設定網路介面、管理安全群組,以及將介面連接到服務連結端點執行個體。這些許可是建立和維護內部部署 Outpost AWS 和服務之間安全、私有連線的必要許可,可確保 Outpost 部署的可靠操作。
AWSServiceRoleForOutpost_OutpostID 服務連結角色信任下列服務可擔任該角色:
-
outposts.amazonaws.com
服務連結角色政策
AWSServiceRoleForOutposts_OutpostID 服務連結角色包含下列政策:
-
AWSOutpostsPrivateConnectivityPolicy_
OutpostID
AWSOutpostServiceRolePolicy
此AWSOutpostsServiceRolePolicy政策可讓您存取 管理 AWS 的資源 AWS Outposts。
此政策允許 對指定的資源 AWS Outposts 完成下列動作:
-
動作:在所有 AWS 資源
ec2:DescribeNetworkInterfaces上 -
動作:在所有 AWS 資源
ec2:DescribeSecurityGroups上 -
動作:在所有 AWS 資源
ec2:DescribeSubnets上 -
動作:在所有 AWS 資源
ec2:DescribeVpcEndpoints上 -
動作:在下列 AWS 資源
ec2:CreateNetworkInterface上:"arn:*:ec2:*:*:vpc/*", "arn:*:ec2:*:*:subnet/*", "arn:*:ec2:*:*:security-group/*" -
動作:在符合下列條件 AWS
"arn:*:ec2:*:*:network-interface/*"的資源ec2:CreateNetworkInterface上:"ForAnyValue:StringEquals" : { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] } -
動作:在下列 AWS 資源
ec2:CreateSecurityGroup上:"arn:*:ec2:*:*:vpc/*" -
動作:在符合下列條件 AWS
"arn:*:ec2:*:*:security-group/*"的資源ec2:CreateSecurityGroup上:"ForAnyValue:StringEquals": { "aws:TagKeys": [ "outposts:private-connectivity-resourceId" ] }
AWSOutpostPrivateConnectivityPolicy_OutpostID
此AWSOutpostsPrivateConnectivityPolicy_政策允許 對指定的資源 AWS Outposts 完成下列動作:OutpostID
-
動作:在符合下列條件的所有 AWS 資源
ec2:AuthorizeSecurityGroupIngress上:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
動作:在符合下列條件的所有 AWS 資源
ec2:AuthorizeSecurityGroupEgress上:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
動作:在符合下列條件的所有 AWS 資源
ec2:CreateNetworkInterfacePermission上:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
動作:在符合下列條件的所有 AWS 資源
ec2:CreateTags上:{ "StringLike" : { "aws:RequestTag/outposts:private-connectivity-resourceId" : "{{OutpostId}}*"}}, "StringEquals": {"ec2:CreateAction" : ["CreateSecurityGroup", "CreateNetworkInterface"]} -
動作:在符合下列條件的所有 AWS 資源
ec2:RevokeSecurityGroupIngress上:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
動作:在符合下列條件的所有 AWS 資源
ec2:RevokeSecurityGroupEgress上:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
動作:在符合下列條件的所有 AWS 資源
ec2:DeleteNetworkInterface上:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }} -
動作:在符合下列條件的所有 AWS 資源
ec2:DeleteSecurityGroup上:{ "StringLike" : { "ec2:ResourceTag/outposts:private-connectivity-resourceId" : "OutpostID" }} and { "StringEquals" : { "ec2:Vpc" : "vpcArn" }}
您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 IAM 使用者指南中的服務連結角色許可。
建立 的服務連結角色 AWS Outposts
您不需要手動建立一個服務連結角色。當您在 中為 Outpost 設定私有連線時 AWS Management Console, 會為您 AWS Outposts 建立服務連結角色。
如需詳細資訊,請參閱服務連結私有連線選項。
編輯 的服務連結角色 AWS Outposts
AWS Outposts 不允許您編輯 AWSServiceRoleForOutposts_OutpostID 服務連結角色。因為可能有各種實體會參考服務連結角色,所以您無法在建立角色之後變更其名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《IAM 使用者指南》中的更新服務連結角色。
刪除 的服務連結角色 AWS Outposts
如果您不再需要使用服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,就不會有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除資源。
如果 AWS Outposts 服務在您嘗試刪除資源時使用角色,則刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
您必須先刪除 Outpost,才能刪除 AWSServiceRoleForOutpost_OutpostID 服務連結角色。
開始之前,請確定您的 Outpost 並未使用 AWS Resource Access Manager () 共用AWS RAM。如需詳細資訊,請參閱取消共用共用的 Outpost 資源。
刪除 AWSServiceRoleForOutposts_OutpostID 使用 AWS Outposts 的資源
請聯絡 AWS 企業支援以刪除您的 Outpost。
使用 IAM 手動刪除服務連結角色
如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色。
AWS Outposts 服務連結角色支援的區域
AWS Outposts 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊,請參閱 Outposts 機架
