Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异，请参阅 中国的 Amazon Web Services 服务入门 (PDF)。

对 Amazon RAM 使用服务相关角色

Amazon Resource Access Manager 使用 Amazon Identity and Access Management（IAM）服务相关角色。服务相关角色是一种独特类型的 IAM 角色，它与 Amazon RAM 服务直接相关。服务相关角色由 Amazon 预定义，并包含 Amazon RAM 代表您调用其他 Amazon 服务所需的一切权限。

服务相关角色使 Amazon RAM 的配置更轻松，因为您不必手动添加必要的权限。Amazon RAM 定义其服务相关角色的权限，除非另行定义，否则仅 Amazon RAM 可以代入其服务相关角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

有关支持服务相关角色的其他服务的信息，请参阅与 IAM 结合使用的 Amazon 服务，并查找服务相关角色列中显示为是的服务。请选择是与查看该服务的服务相关角色文档的链接。

适用于 Amazon RAM 的服务相关角色权限

当您启用与 Amazon Organizations 的共享时，Amazon RAM 使用名为 AWSServiceRoleForResourceAccessManager 的服务相关角色。此角色向 Amazon RAM 服务授予查看组织详细信息的权限，例如，成员账户列表以及每个账户所在的组织单位。

此服务相关角色仅信任以下服务来担任该角色：

名为 AWSResourceAccessManagerServiceRolePolicy 的角色权限策略附加到此服务相关角色，并允许 Amazon RAM 对指定资源完成以下操作：

如果主体要在组织内启用 Amazon RAM 共享，则该主体（IAM 实体，如用户、组或角色）必须具有创建服务相关角色的权限。有关更多信息，请参阅《IAM 用户指南》中的服务相关角色权限。

为 Amazon RAM 创建服务相关角色

您无需手动创建服务相关角色。在 Amazon Web Services 管理控制台 中开启组织内部 Amazon RAM 共享，或者使用 Amazon CLI 或 Amazon API 在账户中运行 EnableSharingWithAwsOrganization 时，Amazon RAM 会为您创建服务相关角色。

调用 enable-sharing-with-aws-organizations 以在您的账户中创建服务相关角色。

如果您删除此服务相关角色，则 Amazon RAM 不再有权查看组织结构的详细信息。

为 编辑服务相关角色Amazon RAM

Amazon RAM 不允许您编辑 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》中的编辑服务相关角色。

删除 Amazon RAM 的服务相关角色

您可以使用 IAM 控制台、Amazon CLI 或 Amazon API 来手动删除服务相关角色。

使用 IAM 手动删除 服务相关角色

使用 IAM 控制台，即 Amazon CLI 或 Amazon API 来删除 AWSResourceAccessManagerServiceRolePolicy 服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的删除服务相关角色。

Amazon RAM 服务相关角色支持的区域

Amazon RAM 支持在 服务可用的所有区域中使用服务相关角色。有关更多信息，请参阅 Amazon 中的 Amazon Web Services 一般参考 区域和终端节点。