本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
的服务相关角色Amazon SMS
Amazon SMS 使用服务相关角色来获取它代表您调用其他 Amazon 服务所需的权限。有关更多信息,请参阅 。使用服务相关角色中的IAM 用户指南。
在引入 Amazon SMS 的服务相关角色之前,您需要创建两个 IAM 角色来向 Amazon SMS 授予其所需的权限。不再需要这些角色即可使用 Amazon SMS。但为了完整起见,这里对它们进行了记录。有关更多信息,请参阅适用于的传统 IAM 角色Amazon SMS。
服务相关角色授予的权限
Amazon SMS 使用名为 AWSServiceRoleForSMS 的服务相关角色来让 Amazon SMS 管理您的复制作业。
AWSServiceRoleForSMS 信任 sms.amazonaws.com 服务委托人代入该角色。
角色权限策略允许 Amazon SMS 对指定资源完成以下操作:
-
使用特定 Amazon SMS 操作创建和管理复制作业
-
使用特定 Amazon CloudFormation 操作来创建和管理 arn:aws:cloudformation:*:*:stack/sms-app-*/*
-
使用特定 Amazon EC2 操作来管理快照和映像、启动实例和管理满足以下标签条件的实例:EC2: ResourceTag/aws: cloudform-id”: “arn: aws: cloudform-*/*
-
使用特定 Amazon Systems Manager 操作在实例上运行脚本
-
在所有资源上使用
iam:GetRole,在 arn:aws:cloudformation:*:*:stack/sms-app-*/* 上使用iam:PassRole -
使用特定 Amazon S3 操作来创建和管理 arn: aws: s3።: sms-app-*
创建服务相关角色
您无需手动创建 AWSServiceRoleForSMS 角色。如果您在使用 Amazon Web Services Management Console创建或更新复制作业、应用程序或启动配置时选择 Allow automatic role creation (允许自动创建角色) 选项,则 Amazon SMS 会为您创建此角色。
要让 Amazon SMS 代表您创建服务相关角色,您必须具有所需权限。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限。
如果不使用控制台,则可以手动创建此服务相关角色。例如,使用以下 Amazon CLI create-service-linked-role 命令可创建 AWSServiceRoleForSMS。
aws iam create-service-linked-role --aws-service-name sms.amazonaws.com
编辑服务相关角色
您可以编辑适用于 SMS 的 AWSS 服务使用 IAM 进行注册。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色。
删除服务相关角色
如果您不再需要使用 Amazon SMS,我们建议您删除 AWSServiceRoleForSMS 角色。只能在以下条件下删除服务相关角色:
-
服务相关角色未由活动复制作业使用
-
服务相关角色未由具有关联的活动复制作业的应用程序使用
-
服务相关角色未由具有关联的 Amazon CloudFormation 堆栈的应用程序使用
您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色。
在删除 AWSServiceRoleForSMS 角色后,Amazon SMS 会在您开始复制作业时重新创建该角色。