本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
Service-linked 应用工作室的角色
App Studio 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接关联到 App Studio。 Service-linked 角色由 App Studio 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可以更轻松地设置 App Studio,因为您无需手动添加必要的权限。App Studio 定义了其服务相关角色的权限,除非另有定义,否则只有 App Studio 可以担任其角色。定义的权限包括信任策略和权限策略,以及不能附加到任何其他 IAM 实体的权限策略。
只有在首先删除相关资源后,您才能删除服务关联角色。这样可以保护您的 App Studio 资源,因为您不会无意中移除访问这些资源的权限。
Service-linked App Studio 的角色权限
App Studio 使用名为AWSServiceRoleForAppStudio的服务相关角色。这是 App Studio 持续管理 AWS 服务、维护应用程序构建体验所需的服务相关角色。
AWSServiceRoleForAppStudio服务相关角色使用以下信任策略,该策略仅信任appstudio-service.amazonaws.com服务:
对于权限,AWSServiceRoleForAppStudio服务相关角色提供对以下服务的权限:
亚马逊 CloudWatch:发送有关 App Studio 使用情况的日志和指标。
AWS Secrets Manager:在 App Studio 中管理连接器的凭据,用于将应用程序连接到其他服务。
IAM 身份中心:只读访问权限以管理用户访问权限。
具体而言,授予的AWSServiceRoleForAppStudio权限由附加的AppStudioServiceRolePolicy托管策略定义。有关托管策略的更多信息(包括其包含的权限),请参阅AWS 托管策略: AppStudioServiceRolePolicy。
为 App Studio 创建服务相关角色
您无需手动创建服务关联角色。当您创建 App Studio 实例时,App Studio 会为您创建服务相关角色。
如果您删除此服务相关角色,建议您创建一个 App Studio 实例,以便自动为您创建另一个实例。
虽然不是必需的,但您也可以使用 IAM 控制台或 AWS CLI 通过使用服务名称创建服务相关角色来创建服务相关角色,如前appstudio-service.amazonaws.com面显示的信任策略片段所示。有关更多信息,请参阅 IAM 用户指南 中的创建服务相关角色。
编辑 App Studio 的服务相关角色
App Studio 不允许您编辑AWSServiceRoleForAppStudio服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色。
删除 App Studio 的服务相关角色
您无需删除该AWSServiceRoleForAppStudio角色。当您删除 App Studio 实例时,App Studio 会自动清理资源并删除与服务相关的角色。
虽然不建议这样做,但您可以使用 IAM 控制台或删除服务相关角色。 AWS CLI 为此,您必须先清理服务相关角色的资源,然后才能将其删除。
注意
如果您尝试删除资源时 App Studio 正在使用该角色,则删除可能会失败。如果发生这种情况,请等待几分钟后重试。
使用 IAM 手动删除服务关联角色
从 App Studio 实例中删除应用程序和连接器。
使用 IAM 控制台、IAM CLI 或 IAM API 删除
AWSServiceRoleForAppStudio服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务关联角色。