在 Amazon VPC Transit Gateways 中为中转网关使用服务相关角色 - Amazon VPC
转换网关
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

在 Amazon VPC Transit Gateways 中为中转网关使用服务相关角色

Amazon VPC 使用服务相关角色获取代表您调用其他 Amazon 服务所需的权限。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色

中转网关服务相关角色

Amazon VPC 使用服务链接角色获得在使用中转网关时代表您调用其他 Amazon 服务所需的权限。

服务相关角色授予的权限

当您使用传输AWSServiceRoleForVPCTransit网关时,Amazon VPC 使用名为 Gatew ay 的服务相关角色代表您调用以下操作:

  • ec2:CreateNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:ModifyNetworkInterfaceAttribute

  • ec2:DeleteNetworkInterface

  • ec2:CreateNetworkInterfacePermission

  • ec2:AssignIpv6Addresses

  • ec2:UnAssignIpv6Addresses

AWSServiceRoleForVPCTransitGateway 角色信任以下服务来代入该角色:

  • transitgateway.amazonaws.com

AWSServiceRoleForVPCTransit网关使用托管策略AWSVPCTransitGatewayServiceRolePolicy

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

创建服务相关角色

您无需手动创建 AWSServiceRoleForVPCTransitGateway 角色。当您将账户中的 VPC 连接到中转网关时,Amazon VPC 会为您创建此角色。

编辑服务相关角色

您可以使用 IAM 编辑AWSServiceRoleForVPCTransit网关的描述。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色描述

删除服务相关角色

如果您不再需要使用中转网关,我们建议您删除AWSServiceRoleForVPCTransit网关

只有在删除 Amazon 账户中的所有传输网关 VPC 附件后,才能删除此服务相关角色。这可确保您不会无意中删除访问您的 VPC 附件的权限。

您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色

删除AWSServiceRoleForVPCTransit网关后,如果您将账户中的 VPC 关联到传输网关,Amazon VPC 会再次创建该角色。