# 适用于 Network Flow Monitor 的服务相关角色
Network Flow Monitor 使用 AWS Identity and Access Management(IAM)[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Network Flow Monitor 直接相关。服务相关角色由 Network Flow Monitor 预定义,包含该服务代表您调用其他 AWS 服务所需的所有权限。
Network Flow Monitor 定义服务相关角色的权限,除非另行定义,否则只有 Network Flow Monitor 可以代入该角色。定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。
只有先删除角色的相关资源,才能删除角色。此限制将保护您的 Network Flow Monitor 资源,因为这样就不会无意中删除对这些资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅[与 IAM 配合使用的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并查找 **Service-linked role**(服务相关角色)列中显示为 **Yes**(是)的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## 适用于 Network Flow Monitor 的服务相关角色权限
Network Flow Monitor 使用以下服务相关角色:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### 适用于 AWSServiceRoleForNetworkFlowMonitor 的服务相关角色权限
Network Flow Monitor 使用名为 **AWSServiceRoleForNetworkFlowMonitor** 的服务相关角色。借助此角色,Network Flow Monitor 可以发布针对实例之间以及实例和 AWS 位置之间的网络流量所收集的 CloudWatch 汇总遥测指标。该策略还允许服务使用 AWS Organizations 获取多账户场景的信息。
此服务相关角色使用托管式策略 `CloudWatchNetworkFlowMonitorServiceRolePolicy`。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor** 服务相关角色信任以下服务来代入该角色:
+ `networkflowmonitor.amazonaws.com`
### 适用于 AWSServiceRoleForNetworkFlowMonitor\$1Topology 的服务相关角色权限
Network Flow Monitor 使用名为 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服务相关角色。借助该角色,Network Flow Monitor 可以生成与其配合使用的资源的拓扑快照。
此服务相关角色使用托管式策略 `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`。
要查看此策略的权限,请参阅《AWS Managed Policy Reference》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服务相关角色信任以下服务来代入该角色:
+ `topology.networkflowmonitor.amazonaws.com`
## 为 Network Flow Monitor 创建服务相关角色
您无需为 Network Flow Monitor 手动创建服务相关角色。首次初始化网络流量监测仪时,网络流量监测仪会为您创建 **AWSServiceRoleForNetworkFlowMonitor** 和 **AWSServiceRoleForNetworkFlowMonitor\$1Topology**。
有关更多信息,请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 为 Network Flow Monitor 编辑服务相关角色
Network Flow Monitor 在您的账户中创建服务相关角色后,您将无法更改角色名称,因为可能有多个实体引用该角色。您可以使用 IAM 编辑角色描述。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 为 Network Flow Monitor 删除服务相关角色
如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
当您试图删除 Internet Monitor 服务正在使用的角色时,删除操作可能会失败。如果发生这种情况,请等待几分钟,然后重试。
**使用 IAM 手动删除服务关联角色**
使用 IAM 控制台、AWS CLI 或 AWS API 删除 **AWSServiceRoleForNetworkFlowMonitor** 或 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Network Flow Monitor 服务相关角色的更新
有关适用于 Network Flow Monitor 服务相关角色的 `CloudWatchNetworkFlowMonitorServiceRolePolicy` 或 `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` 以及 AWS 托管式策略的更新,请参阅 [CloudWatch 对 AWS 托管式策略的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需获得 CloudWatch 中托管策略更改的自动提示,请订阅 [CloudWatch 历史记录](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)页面上的 RSS 源。