本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Resource Groups 使用服务相关角色
<a name="security_iam_service-linked-roles"></a>

AWS Resource Groups 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色，它与 Resource Groups 直接相关。服务相关角色由 Resource Groups 预定义，并包含该服务代表您调用其它 AWS 服务 服务所需的一切权限。

服务相关角色可让您更轻松地设置 Resource Groups，因为您不必手动添加必要的权限。Resource Groups 定义了其服务相关角色的权限，并为每个角色设置信任策略以确保仅有 Resource Groups 服务可担任其角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

有关支持服务相关角色的其他服务的信息，请参阅与 [IAM 配合使用的AWS 服务，](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并在**服务相关角色**列中查找标有 “**是**” 的服务。选择**是**和链接，查看该服务的服务关联角色文档。

## Resource Groups 的服务相关角色权限
<a name="service-linked-role-permissions"></a>

Resource Groups 使用以下服务相关角色来支持组生命周期事件。在创建角色后，选择角色名称上的链接，即可在 IAM 控制台中查看该角色。
+ `[AWSServiceRoleForResourceGroups](https://console.aws.amazon.com/iamv2/home#/roles/details/AWSServiceRoleForResourceGroups)`

 Resource Groups 使用此角色的 AWS 服务 权限来查询拥有您的资源的人，以帮助解决群组成员资格问题并保留该群组 up-to-date。它允许 Resource Groups 向亚马逊 EventBridge 服务发送与服务相关的事件。

 `AWSServiceRoleForResourceGroups`服务相关角色***仅信任***以下服务来担任该角色：
+ `resourcegroups.amazonaws.com`

附加到该角色的权限来自以下 AWS 托管策略。选择策略名称上的链接，在 IAM 控制台中查看策略。
+ `AWS 的托管策略 AWS Resource Groups`

## 为 Resource Groups 创建服务相关角色
<a name="create-service-linked-role"></a>

**重要**  
如果您在其他需要此角色所支持功能的服务中完成某个操作，此服务相关角色可以出现在您的账户中。有关更多信息，请参阅 “[我的” 中出现了一个新角色 AWS 账户](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。

要创建服务相关角色，[请开启组生命周期事件功能](monitor-groups-turn-on.md)。

## 编辑 Resource Groups 的服务相关角色
<a name="edit-service-linked-role"></a>

Resource Groups 不允许您编辑 AWSServiceRoleForResourceGroups 服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 Resource Groups 的服务相关角色
<a name="delete-service-linked-role"></a>

只有在关闭组生命周期事件之后，您才可以删除服务相关角色。

**重要**  
AWS 防止您移除服务相关角色，直到您首次[关闭创建该角色的群组生命周期事件功能](monitor-groups-turn-off.md)。
我们建议您不要删除服务相关角色，前提是您的 AWS 账户资源组中包含任何资源组。如果您删除此角色，Resource Groups 服务将无法与其他人交互 AWS 服务 来管理您的群组。

### 手动删除服务相关角色
<a name="slr-manual-delete"></a>

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForResourceGroups服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

------
#### [ Console ]

**删除 Resource Groups 服务相关角色**

1. 打开 [IAM 控制台的“角色”页面](https://console.aws.amazon.com/iam/home#/roles)。

1. 找到名为的角色 AWSServiceRoleForResourceGroups，然后选中其旁边的复选框。

1. 选择**删除**。

1. 在框中输入角色的名称，然后选择**删除**，以确认您打算删除该角色。

角色从 IAM 控制台中的角色列表中消失。

------
#### [ AWS CLI ]

**删除 Resource Groups 服务相关角色**  
要删除角色，请输入以下命令，其参数如图所示。不要替换任何值。

```
$ aws iam delete-service-linked-role \
    --role-name AWSServiceRoleForResourceGroups
{
    "DeletionTaskId": "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
}
```

该命令返回一个任务 ID。实际的角色删除是异步进行的。您可以通过将提供的任务标识符传递给以下 AWS CLI 命令来检查角色删除的状态。

```
$ aws iam get-service-linked-role-deletion-status \
    --deletion-task-id "task/aws-service-role/resource-groups.amazonaws.com/AWSServiceRoleForResourceGroups/34e58943-e9a5-4220-9856-fc565EXAMPLE"
{
    "Status": "SUCCEEDED"
}
```

------

## Resource Groups 服务相关角色支持的区域
<a name="slr-regions"></a>

Resource Groups 支持在所有提供服务 AWS 区域 的地方使用与服务相关的角色。有关更多信息，请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。