# 适用于 Network Flow Monitor 的服务相关角色 服务关联角色 Network Flow Monitor 使用 Amazon Identity and Access Management(IAM)[服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Network Flow Monitor 直接相关。服务相关角色由 Network Flow Monitor 预定义,包含该服务代表您调用其他 Amazon 服务所需的所有权限。 Network Flow Monitor 定义服务相关角色的权限,除非另行定义,否则只有 Network Flow Monitor 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。 只有先删除角色的相关资源,才能删除角色。此限制将保护您的 Network Flow Monitor 资源,因为这样就不会无意中删除对这些资源的访问权限。 有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的 Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-linked role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。 ## 适用于 Network Flow Monitor 的服务相关角色权限 Network Flow Monitor 使用以下服务相关角色: + **AWSServiceRoleForNetworkFlowMonitor** + **AWSServiceRoleForNetworkFlowMonitor\$1Topology** ### 适用于 AWSServiceRoleForNetworkFlowMonitor 的服务相关角色权限 Network Flow Monitor 使用名为 **AWSServiceRoleForNetworkFlowMonitor** 的服务相关角色。借助此角色,Network Flow Monitor 可以发布针对实例之间以及实例和 Amazon 位置之间的网络流量所收集的 CloudWatch 汇总遥测指标。该策略还允许服务使用 Amazon Organizations 获取多账户场景的信息。 此服务相关角色使用托管式策略 `CloudWatchNetworkFlowMonitorServiceRolePolicy`。 要查看此策略的权限,请参阅《Amazon Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。 **AWSServiceRoleForNetworkFlowMonitor** 服务相关角色信任以下服务来代入该角色: + `networkflowmonitor.amazonaws.com` ### 适用于 AWSServiceRoleForNetworkFlowMonitor\$1Topology 的服务相关角色权限 Network Flow Monitor 使用名为 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服务相关角色。借助该角色,Network Flow Monitor 可以生成与其配合使用的资源的拓扑快照。 此服务相关角色使用托管式策略 `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`。 要查看此策略的权限,请参阅《Amazon Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.amazonaws.cn/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服务相关角色信任以下服务来代入该角色: + `topology.networkflowmonitor.amazonaws.com` ## 为 Network Flow Monitor 创建服务相关角色 您无需为 Network Flow Monitor 手动创建服务相关角色。首次初始化网络流量监测仪时,网络流量监测仪会为您创建 **AWSServiceRoleForNetworkFlowMonitor** 和 **AWSServiceRoleForNetworkFlowMonitor\$1Topology**。 有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。 ## 为 Network Flow Monitor 编辑服务相关角色 Network Flow Monitor 在您的账户中创建服务相关角色后,您将无法更改角色名称,因为可能有多个实体引用该角色。您可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。 ## 为 Network Flow Monitor 删除服务相关角色 如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。 **注意** 当您试图删除 Internet Monitor 服务正在使用的角色时,删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。 **使用 IAM 手动删除服务关联角色** 使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 **AWSServiceRoleForNetworkFlowMonitor** 或 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。 ## Network Flow Monitor 服务相关角色的更新 适用于 Network Flow Monitor 的服务相关角色的更新 有关适用于 Network Flow Monitor 服务相关角色的 `CloudWatchNetworkFlowMonitorServiceRolePolicy` 或 `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 以及 Amazon 托管式策略的更新,请参阅 [CloudWatch 对 Amazon 托管式策略的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需获得 CloudWatch 中托管策略更改的自动提示,请订阅 [CloudWatch 历史记录](https://docs.amazonaws.cn/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)页面上的 RSS 源。