将服务相关角色用于 Amazon Health
Amazon Health 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon Health 直接相关。服务相关角色由 Amazon Health 预定义,并包含相关服务为您调用其他 Amazon Web Services 服务 所需的所有权限。
您可以使用服务相关角色设置 Amazon Health,以避免手动添加必要的权限。Amazon Health 定义其服务相关角色的权限,除非另行定义,否则仅 Amazon Health 可以代入其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
Amazon Health 的服务相关角色权限
Amazon Health 具有两个服务相关角色:
-
AWSServiceRoleForHealth_Organizations
— 此角色信任 Amazon Health ( health.amazonaws.com
),以代入角色为您访问 Amazon Web Services 服务。附加到此角色是Health_OrganizationsServiceRolePolicy
Amazon 托管策略。 -
AWSServiceRoleForHealth_EventProcessor
– 此角色信任 Amazon Health 服务主体 ( event-processor.health.amazonaws.com
),以代入角色供您使用。附加到此角色是AWSHealth_EventProcessorServiceRolePolicy
Amazon 托管策略。服务主体使用该角色为 Amazon 事件检测和响应创建 Amazon EventBridge 托管规则。此规则是在 Amazon Web Services 账户 中将警报状态更改信息从您的账户传送到 Amazon Health 的必要基础设施。
有关 Amazon 托管策略的更多信息,请参阅 适用于 Amazon Health 的 Amazon 托管式策略。
为 Amazon Health 创建服务相关角色
您无需创建 AWSServiceRoleForHealth_Organizations 服务相关角色。当调用 EnableHealthServiceAccessForOrganization 操作时,Amazon Health 会在账户中为您创建此服务相关角色。
您必须在账户中手动创建 AWSServiceRoleForHealth_EventProcessor 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。
为 Amazon Health 编辑服务相关角色
Amazon Health 不允许您编辑服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Amazon Health 的服务相关角色
要删除 AWSServiceRoleForHealth_Organizations 角色,必须首先调用 DisableHealthServiceAccessForOrganization 操作。然后,您可以通过 IAM 控制台、IAM API 或 Amazon Command Line Interface (Amazon CLI) 删除角色。
要删除 AWSServiceRoleForHealth_EventProcessor 角色,请联系 Amazon Web Services Support 并要求他们从 Amazon 事件检测和响应中卸载您的工作负载。完成此过程后,您可以通过 IAM 控制台、IAM API 或其他 Amazon CLI 删除任一角色。
相关信息
有关更多信息,请参阅《 IAM 用户指南》中的使用服务相关角色。