Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅中国的 Amazon Web Services 服务入门。

将服务相关角色用于 Amazon CloudTrail

Amazon CloudTrail 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色，它与 CloudTrail 直接相关。服务相关角色由 CloudTrail 预定义，并包含该服务代表您调用其他 Amazon 服务所需的一切权限。

服务相关角色可让您更轻松地设置 CloudTrail，因为您不必手动添加必要的权限。CloudTrail 定义其服务相关角色的权限，除非另外定义，否则只有 CloudTrail 可以代入该角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其它 IAM 实体的权限策略。

有关支持服务相关角色的其它服务的信息，请参阅使用 IAM 的 Amazon 服务并查找 Service-Linked Role（服务相关角色）列中显示为 Yes（是）的服务。选择是和链接，查看该服务的服务相关角色文档。

CloudTrail 的服务相关角色权限

CloudTrail 使用名为 AWSServiceRoleForCloudTrail 的服务相关角色 – 此服务相关角色用于支持组织跟踪功能。

AWSServiceRoleForCloudTrail 服务相关角色信任以下服务以代入该角色：

此角色用于支持在 CloudTrail 中创建和管理组织跟踪。有关更多信息，请参阅 为组织创建跟踪。

角色权限策略允许 CloudTrail 对指定资源完成以下操作：

必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅 IAM 用户指南中的服务相关角色权限。

为 CloudTrail 创建服务相关角色

无需手动创建服务相关角色。当您在 Amazon Web Services Management Console、Amazon CLI 或 Amazon API 中创建组织跟踪时，CloudTrail 会为您创建服务相关角色。

如果删除此服务相关角色，然后需要再次创建，可以使用相同流程在账户中重新创建此角色。当您创建组织跟踪时，CloudTrail 会再次为您创建服务相关角色。

编辑 CloudTrail 的服务相关角色

CloudTrail 不允许您编辑 AWSServiceRoleForCloudTrail 服务相关角色。创建服务相关角色后，将无法更改角色名称，因为可能有多个实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息，请参见《IAM 用户指南》中的编辑服务相关角色。

为 CloudTrail 删除服务相关角色

您不需要手动删除 AWSServiceRoleForCloudTrail 角色。如果从 Organizations 组织中删除某个 Amazon 账户，则会自动从该 Amazon 账户中删除 AWSServiceRoleForCloudTrail 角色。如果不从组织中删除账户，则无法将策略从组织管理账户中的 AWSServiceRoleForCloudTrail 服务相关角色中分离或删除。

您还可以使用 IAM 控制台、Amazon CLI 或 Amazon API 来手动删除服务相关角色。为此，您必须先手动清除服务相关角色的资源，然后才能手动删除它。

要删除 AWSServiceRoleForCloudTrail 角色正在使用的某个资源，您可以执行下列操作之一：

有关更多信息，请参阅为组织创建跟踪、更新跟踪和删除跟踪。

使用 IAM 手动删除服务相关角色

使用 IAM 控制台、Amazon CLI 或 Amazon API 删除 AWSServiceRoleForCloudTrail 服务相关角色。有关更多信息，请参见 IAM 用户指南中的删除服务相关角色。

CloudTrail 服务相关角色支持的区域

CloudTrail 支持在同时提供 CloudTrail 和 Organizations 的所有区域中使用服务相关角色。有关更多信息，请参阅 Amazon 区域和终端节点。