我的书签
添加书签
移除书签了解服务相关角色
服务相关角色使 Amazon DocumentDB 的使用更轻松,因为您不必手动添加必要的权限。Amazon DocumentDB 定义其服务相关角色的权限,除非另行定义,否则仅 Amazon DocumentDB 可以代入其角色。定义的权限包括信任策略和权限策略,并且权限策略不能附加到任何其他 IAM 实体。
只有在首先删除角色的相关资源后,才能删除角色。这将保护您的 Amazon DocumentDB 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅使用 IAM 的 AWS 服务并查找服务相关角色 列为是 的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。
Amazon DocumentDB(与 MongoDB 兼容) 使用名为 AWSServiceRoleForRDS 的服务相关角色来允许 Amazon DocumentDB 代表您的集群调用 AWS 服务。
AWSServiceRoleForRDS 服务相关角色信任以下服务代入该角色:
角色权限策略允许 Amazon DocumentDB 对指定资源完成以下操作:
对
ec2的操作:AssignPrivateIpAddressesAuthorizeSecurityGroupIngressCreateNetworkInterfaceCreateSecurityGroupDeleteSecurityGroupDescribeAvailabilityZonesDescribeSecurityGroupsDescribeSubnetsDescribeVpcsModifyNetworkInterfaceAttributeRevokeSecurityGroupIngressUnassignPrivateIpAddresses
对
sns的操作:对
cloudwatch的操作:PutMetricDataGetMetricDataCreateLogStreamPullLogEventsDescribeLogStreamsCreateLogGroup
注意
您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。您可能会遇到以下错误消息:
Unable to create the resource.Verify that you have permission to create service linked role.Otherwise wait and try again later.
有关更多信息,请参阅 IAM 用户指南 中的。
您无需手动创建服务相关角色。当您创建集群时,Amazon DocumentDB 将为您创建服务相关角色。
如果您删除了此服务相关角色然后需要再次创建它,则可以使用相同的流程在您的账户中重新创建此角色。当您创建集群时,Amazon DocumentDB 将再次为您创建服务相关角色。
Amazon DocumentDB 不允许您修改 AWSServiceRoleForRDS 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 修改角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色。
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。不过,您必须先删除所有集群,然后才能删除服务相关角色。
在您可以使用 IAM 删除服务相关角色之前,必须先确认该角色没有活动会话并删除该角色使用的任何资源。
要使用控制台检查服务相关角色是否具有活动会话
通过 登录 AWS 管理控制台 并打开 IAM 控制台。
在 IAM 控制台的导航窗格中,选择 Roles (角色),然后选择 AWSServiceRoleForRDS 角色的名称(而不是复选框)。
在所选角色的 Summary 页面上,选择 Access Advisor 选项卡。
在 Access Advisor (访问顾问) 选项卡上,查看服务相关角色的近期活动。
注意
如果您不确定 Amazon DocumentDB 是否正在使用 AWSServiceRoleForRDS 角色,可以尝试删除该角色。如果服务正在使用该角色,则删除操作会失败,并且您可以查看正在使用该角色的区域。如果该角色已被使用,则您必须等待会话结束,然后才能删除该角色。您无法撤销服务相关角色对会话的权限。
如果您要删除 AWSServiceRoleForRDS 角色,必须先删除您的所有实例和集群。有关删除实例和集群的信息,请参阅以下主题:
Amazon DocumentDB 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 。
