使用中转网关的服务相关角色 - Amazon VPC
转换网关
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用中转网关的服务相关角色

Amazon VPC 使用服务相关角色获取代表您调用其他 Amazon 服务所需的权限。有关更多信息,请参阅 IAM 用户指南中的使用服务相关角色

中转网关服务相关角色

Amazon VPC 使用服务链接角色获得在使用中转网关时代表您调用其他 Amazon 服务所需的权限。

服务相关角色授予的权限

当您使用中转网关时,Amazon VPC 使用名为 AWSServiceRoleForVPCTransitGateway 的服务相关角色代表您调用以下操作:

  • ec2:CreateNetworkInterface

  • ec2:DescribeNetworkInterfaces

  • ec2:ModifyNetworkInterfaceAttribute

  • ec2:DeleteNetworkInterface

  • ec2:CreateNetworkInterfacePermission

  • ec2:AssignIpv6Addresses

  • ec2:UnAssignIpv6Addresses

AWSServiceRoleForVPCTransitGateway 角色信任以下服务以担任该角色:

  • transitgateway.amazonaws.com

AWSServiceRoleForVPCTransitGateway 使用托管策略 AWSVPCTransitGatewayServiceRolePolicy

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

创建服务相关角色

您无需手动创建 AWSServiceRoleForVPCTransitGateway 角色。当您将账户中的 VPC 挂载到中转网关时,Amazon VPC 会为您创建此角色。

要让 Amazon VPC 用户代表您创建服务相关角色,您必须具有所需权限。有关更多信息,请参阅 IAM 用户指南中的服务相关角色权限

编辑服务相关角色

您可以使用 IAM 编辑 AWSServiceRoleForVPCTransitGateway 的描述。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色

删除服务相关角色

如果您不再需要使用中转网关,我们建议您删除 AWSServiceRoleForVPCTransitGateway

只有在删除 Amazon 账户中的所有中转网关 VPC 挂载后,才能删除此服务相关角色。这可确保您不会无意中删除访问您的 VPC 附件的权限。

您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色

在您删除 AWSServiceRoleForVPCTransitGateway 之后,如果您将您账户中的 VPC 附加到中转网关,Amazon VPC 将再次创建此角色。