应用错误收集

服务链接角色是一个特定AWS服务使用的设计。在用于IAM服务的AWS管理控制台中，您可以单击一个角色并查看“摘要”。摘要包含一个 path 属性，该属性如下所示：/aws-service-role/access-analyzer.amazonaws.com/。

在此示例中，您可以看到使用此角色的服务称为访问分析器。

您可以在文档中获取有关该特定服务的服务链接角色的信息。 [1]
导航到“安全，身份和合规性服务”部分->搜索“ IAM访问分析器”行，然后单击表的“与服务相关的角色”列中的链接是。链接的文档通常会告诉您AWS为何设置此特殊服务链接角色以及它包含哪些权限。

有关服务链接角色的一般信息由IAM文档在“服务链接角色” [2]和IAM“故障排除”指南[3]中给出。

如果您想知道帐户中最后一次使用特定服务链接角色的时间，请使用访问分析器 [4]。

AWS官方博客[5]当前有3个帖子，主题为服务链接角色。其中两个可能与您的问题有关：

博客文章“ 使用AWS CloudTrail提升AWS服务代为执行的操作的透明度 “ [6]详细介绍了如何监视角色执行的操作。我猜这也是@jellycsc的答案所建议的过程。

博客文章[6]的摘录：

在此博客文章中，我演示了如何查看CloudTrail日志，以便您可以更轻松地监视和审计代表您执行操作的AWS服务。首先，我将展示当您配置支持服务链接角色的AWS服务时，AWS如何在您的账户中自动创建服务链接角色。接下来，我将展示如何查看与服务相关联的角色的策略，该角色将授予AWS服务权限以代表您执行操作。最后，我使用配置的AWS服务执行操作，并向您展示该操作在CloudTrail日志中的显示方式。
博客文章“ 现在不再需要AWS服务代表自己执行操作时，现在使用AWS IAM删除与服务相关的角色” [7]发表以下声明：

删除服务链接角色后，链接服务将不再具有代表您执行操作的权限。为确保您的AWS服务在删除与服务相关的角色时继续按预期运行， IAM确认您不再拥有要求与服务相关的角色正常运行的资源。这样可以防止您无意间撤消AWS服务管理现有AWS资源所需的权限，并帮助您将资源维持在一致的状态。如果您的帐户中有任何需要服务链接角色的资源，则当您尝试删除服务链接角色时会收到错误消息，并且服务链接角色将保留在您的帐户中。如果没有任何资源需要服务链接角色，则可以删除服务链接角色，IAM将从您的帐户中删除服务链接角色。

参考文献

[1] https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#admin_svcs
[2] https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role
[3] https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared
[4] https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html?icmpid=docs_iam_console
[5] https://aws.amazon.com/de/blogs/security/tag/service-linked-roles/
[6] https://aws.amazon.com/de/blogs/security/get-greater-transparency-into-actions-aws-services-perform-on-your-behalf-by-using-aws-cloudtrail/
[7] https://aws.amazon.com/de/blogs/security/now-use-aws-iam-to-delete-a-service-linked-role-when-you-no-longer-require-an-aws-service-to-perform-actions-on-your-behalf/

使用CloudTrail。这是doc。您可能想探索更多。

AWS-如何确定使用服务关联角色的原因？

2 个答案:

参考文献