本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将服务相关角色用于 Amazon Health
Amazon Health 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与之直接关联的 IAM 角色的独特类型。 Amazon Health服务相关角色由 Amazon Health 预定义,并包含相关服务为您调用其他 Amazon Web Services 服务 所需的所有权限。
您可以使用服务相关角色进行设置, Amazon Health 以避免手动添加必要的权限。 Amazon Health 定义其服务相关角色的权限,除非另有定义,否则 Amazon Health 只能担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
Amazon Health的服务相关角色权限
Amazon Health 有两个与服务相关的角色:
-
AWSServiceRoleForHealth_Organizations
— 此角色信任 Amazon Health ( health.amazonaws.com) 代替您访问 Amazon Web Services 服务 的角色。附属于此角色的是Health_OrganizationsServiceRolePolicyAmazon 托管策略。 -
AWSServiceRoleForHealth_EventProcessor
— 此角色信任 Amazon Health 服务主体 ( event-processor.health.amazonaws.com) 代您担任该角色。附属于此角色的是AWSHealth_EventProcessorServiceRolePolicyAmazon 托管策略。服务主体使用该角色为 Amazon 事件检测和响应创建 Amazon EventBridge 托管规则。此规则是将警报状态变更信息从您的账户传送 Amazon Web Services 账户 到您的账户所需的基础架构 Amazon Health。
有关 Amazon 托管策略的更多信息,请参阅Amazon 的托管策略 Amazon Health。
为 Amazon Health创建服务相关角色
你不需要创建 AWSServiceRoleForHealth_Organizations 服务相关角色。当您调用EnableHealthServiceAccessForOrganization操作时, Amazon Health 会在账户中为您创建此服务相关角色。
您必须手动创建 AWSServiceRoleForHealth_EventProcessor 在您的账户中扮演与服务相关的角色。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。
为 Amazon Health编辑服务相关角色
Amazon Health 不允许您编辑服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 Amazon Health的服务相关角色
要删除 AWSServiceRoleForHealth_Organizations 角色,必须先调用该DisableHealthServiceAccessForOrganization操作。然后,您可以通过 IAM 控制台、IAM API 或 Amazon Command Line Interface (Amazon CLI) 删除该角色。
要删除 AWSServiceRoleForHealth_EventProcessor 角色、联系 Amazon Web Services 支持 并要求他们将你的工作负载从 Amazon 事件检测和响应中移开。完成此过程后,您可以通过 IAM 控制台、IAM API 或其他 Amazon CLI删除任一角色。
相关信息
有关更多信息,请参阅《 IAM 用户指南》中的使用服务相关角色。