本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将服务相关角色用于 Amazon ElastiCache
Amazon ElastiCache 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特类型的 IAM 角色,它与 Amazon ElastiCache 等 AWS 服务直接相关。Amazon ElastiCache 服务相关角色由 Amazon ElastiCache 预定义。它们包含该服务代表您的集群调用 AWS 服务所需的一切权限。
服务相关角色可让您更轻松地设置 Amazon ElastiCache,因为您不必手动添加必要的权限。这些角色已存在于您的 AWS 账户中,但与 Amazon ElastiCache 使用案例有关并有预定义的权限。只有 Amazon ElastiCache 可以代入这些角色,并且只有这些角色可以使用预定义的权限策略。只有先删除角色的相关资源,才能删除角色。这样可以保护您的 Amazon ElastiCache 资源,因为您不会无意中删除访问资源所需的必要权限。
有关支持服务链接角色的其他服务的信息,请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),并在**服务链接角色**列中查找**是**的服务。请选择**是**与查看该服务的服务相关角色文档的链接。
**Contents**
+ [服务相关角色权限](#service-linked-role-permissions)
+ [创建服务相关角色所需的权限](#service-linked-role-permissions)
+ [创建服务相关角色 (IAM)](#create-service-linked-role-iam)
+ [使用 IAM 控制台](#create-service-linked-role-iam-console)
+ [使用 IAM CLI](#create-service-linked-role-iam-cli)
+ [使用 IAM API](#create-service-linked-role-iam-api)
+ [编辑服务相关角色描述](#edit-service-linked-role)
+ [使用 IAM 控制台](#edit-service-linked-role-iam-console)
+ [使用 IAM CLI](#edit-service-linked-role-iam-cli)
+ [使用 IAM API](#edit-service-linked-role-iam-api)
+ [删除 Amazon ElastiCache 的服务相关角色](#delete-service-linked-role)
+ [清除服务相关角色](#service-linked-role-review-before-delete)
+ [删除服务相关角色(IAM 控制台)](#delete-service-linked-role-iam-console)
+ [删除服务相关角色(IAM CLI)](#delete-service-linked-role-iam-cli)
+ [删除服务相关角色(IAM API)](#delete-service-linked-role-iam-api)
## Amazon ElastiCache 的服务相关角色权限
### 创建服务相关角色所需的权限
**允许 IAM 实体创建 AWSServiceRoleForElastiCache 服务相关角色**
向该 IAM 实体的权限中添加以下策略声明:
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWSServiceRoleForElastiCache*",
"Condition": {"StringLike": {"iam:AWSServiceName": "elasticache.amazonaws.com"}}
}
```
**允许 IAM 实体删除 AWSServiceRoleForElastiCache 服务相关角色**
向该 IAM 实体的权限中添加以下策略声明:
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/elasticache.amazonaws.com/AWSServiceRoleForElastiCache*",
"Condition": {"StringLike": {"iam:AWSServiceName": "elasticache.amazonaws.com"}}
}
```
或者,您可以使用 AWS 托管式策略提供对 Amazon ElastiCache 的完全访问权限。
## 创建服务相关角色 (IAM)
您可以使用 IAM 控制台、CLI 或 API 创建服务相关角色。
### 创建服务相关角色(IAM 控制台)
您可使用 IAM 控制台创建服务相关角色。
**创建服务相关角色(控制台)**
1. 登录 AWS 管理控制台,打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的导航窗格中,选择**角色**。然后选择**创建新角色**。
1. 在 **Select type of trusted entity(选择受信任实体的类型)**下,选择 **AWS Service(亚马逊云科技服务)**。
1. 在 **Or select a service to view its use cases(或选择服务以查看其使用案例)**下,选择 **ElastiCache**。
1. 选择**下一步: 权限**。
1. 在 **策略名称**下,请注意此角色需要 `ElastiCacheServiceRolePolicy`。选择 **Next:Tags(下一步: 标签)**。
1. 请注意,服务相关角色不支持标签。选择**下一步: 审核**。
1. (可选)对于 **Role description**,编辑新服务相关角色的描述。
1. 检查角色,然后选择**创建角色**。
### 创建服务相关角色(IAM CLI)
您可以从 AWS Command Line Interface 中使用 IAM 操作创建服务相关角色。此角色可以包括服务代入角色时所需的信任策略和内联策略。
**创建服务相关角色(CLI)**
使用以下操作:
```
$ aws iam [create-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/create-service-linked-role.html) --aws-service-name elasticache.amazonaws.com
```
### 创建服务相关角色(IAM API)
您可以使用 IAM API 创建服务相关角色。此角色可以包括服务代入角色时所需的信任策略和内联策略。
**创建服务相关角色(API)**
使用 [CreateServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_CreateServiceLinkedRole.html) API 调用。在请求中,指定 `elasticache.amazonaws.com` 的服务名称。
## 编辑 Amazon ElastiCache 的服务相关角色的描述
Amazon ElastiCache 不允许您编辑 AWS ServiceRoleForElastiCache 服务相关角色。创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。
### 编辑服务相关角色描述(IAM 控制台)
您可以使用 IAM 控制台编辑服务相关角色的描述。
**编辑服务相关角色的描述(控制台)**
1. 在 IAM 控制台的导航窗格中,选择**角色**。
1. 以下代码示例显示如何将 IAM 策略附加到用户。
1. 在 **Role description** 的最右侧,选择 **Edit**。
1. 在框中输入新描述,然后选择 **Save(保存)**。
### 编辑服务相关角色描述(IAM CLI)
您可以从 AWS Command Line Interface 使用 IAM 操作来编辑服务相关角色的描述。
**更改服务相关角色的描述(CLI)**
1. (可选)要查看角色的当前描述,请使用 AWS CLI 执行 IAM 操作 `[get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html)`。
**Example**
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name AWSServiceRoleForElastiCache
```
通过 CLI 操作使用角色名称(并非 ARN)指向角色。例如,如果一个角色的 ARN 为 `arn:aws:iam::123456789012:role/myrole`,则应将角色称为 **myrole**。
1. 要更新服务相关角色的描述,请使用 AWS CLI 执行 IAM 操作 `[update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html)`。
对于 Linux、macOS 或 Unix:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) \
--role-name AWSServiceRoleForElastiCache \
--description "new description"
```
对于 Windows:
```
$ aws iam [update-role-description](https://docs.aws.amazon.com/cli/latest/reference/iam/update-role-description.html) ^
--role-name AWSServiceRoleForElastiCache ^
--description "new description"
```
### 编辑服务相关角色描述(IAM API)
您可以使用 IAM API 编辑服务相关角色描述。
**更改服务相关角色的描述(API)**
1. (可选)要查看角色的当前描述,请使用 IAM API 操作 [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)。
**Example**
```
https://iam.amazonaws.com/
?Action=[GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html)
&RoleName=AWSServiceRoleForElastiCache
&Version=2010-05-08
&AUTHPARAMS
```
1. 要更新角色的描述,请使用 IAM API 操作 [UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)。
**Example**
```
https://iam.amazonaws.com/
?Action=[UpdateRoleDescription](https://docs.aws.amazon.com/IAM/latest/APIReference/API_UpdateRoleDescription.html)
&RoleName=AWSServiceRoleForElastiCache
&Version=2010-05-08
&Description="New description"
```
## 删除 Amazon ElastiCache 的服务相关角色
如果不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,您必须先清除您的服务相关角色,然后才能将其删除。
Amazon ElastiCache 不会删除您的服务相关角色。
### 清除服务相关角色
您必须先确认该角色没有与之关联的资源(集群或复制组),然后才能使用 IAM 删除服务相关角色。
**在 IAM 控制台中检查服务相关角色是否具有活动会话**
1. 登录 AWS 管理控制台,打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的导航窗格中,选择**角色**。然后选择 AWS ServiceRoleForElastiCache 角色的名称(而不是复选框)。
1. 在所选角色的**摘要**页面上,选择**访问顾问**选项卡。
1. 在**访问顾问**选项卡查看服务相关角色的近期活动。
**删除需要 AWSServiceRoleForElastiCache 的 Amazon ElastiCache 资源**
+ 要删除集群,请参阅以下内容:
+ [使用AWS 管理控制台](Clusters.Delete.md#Clusters.Delete.CON)
+ [使用AWS CLI删除集 ElastiCache 群](Clusters.Delete.md#Clusters.Delete.CLI)
+ [使用 ElastiCache API](Clusters.Delete.md#Clusters.Delete.API)
+ 要删除复制组,请参阅以下内容:
+ [删除复制组(控制台)](Replication.DeletingRepGroup.md#Replication.DeletingRepGroup.CON)
+ [删除复制组 (AWS CLI)](Replication.DeletingRepGroup.md#Replication.DeletingRepGroup.CLI)
+ [删除复制组 (ElastiCache API)](Replication.DeletingRepGroup.md#Replication.DeletingRepGroup.API)
### 删除服务相关角色(IAM 控制台)
您可以使用 IAM 控制台删除服务相关角色。
**删除服务相关角色(控制台)**
1. 登录 AWS 管理控制台,打开 IAM 控制台:[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/)。
1. 在 IAM 控制台的导航窗格中,选择**角色**。然后,选中要删除的角色名称旁边的复选框,而不是名称或行本身。
1. 对于页面顶部的**角色操作**,请选择**删除角色**。
1. 在确认对话框中,查看上次访问服务数据,该数据显示每个选定角色上次访问 AWS 服务的时间。这样可帮助您确认角色当前是否处于活动状态。如果要继续,请选择 **Yes, Delete ** 以提交服务相关角色进行删除。
1. 监视 IAM 控制台通知,以监控服务相关角色的删除进度。由于 IAM 服务相关角色删除是异步的,因此,在您提交角色进行删除后,删除任务可能成功,也可能失败。如果任务失败,您可以从通知中选择 **View details** 或 **View Resources** 以了解删除失败的原因。
### 删除服务相关角色(IAM CLI)
您可以从 AWS Command Line Interface 中使用 IAM 操作删除服务相关角色。
**删除服务相关角色(CLI)**
1. 如果您不知道要删除的服务相关角色的名称,请输入以下命令。此命令会列出您账户中的角色及其 Amazon 资源名称(ARN)。
```
$ aws iam [get-role](https://docs.aws.amazon.com/cli/latest/reference/iam/get-role.html) --role-name role-name
```
通过 CLI 操作使用角色名称(并非 ARN)指向角色。例如,如果某个角色具有 ARN `arn:aws:iam::123456789012:role/myrole`,则将该角色称为 **myrole**。
1. 如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `deletion-task-id` 以检查删除任务的状态。输入以下命令以提交服务相关角色的删除请求。
```
$ aws iam [delete-service-linked-role](https://docs.aws.amazon.com/cli/latest/reference/iam/delete-service-linked-role.html) --role-name role-name
```
1. 输入以下命令以检查删除任务的状态。
```
$ aws iam [get-service-linked-role-deletion-status](https://docs.aws.amazon.com/cli/latest/reference/iam/get-service-linked-role-deletion-status.html) --deletion-task-id deletion-task-id
```
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。
### 删除服务相关角色(IAM API)
您可以使用 IAM API 删除服务相关角色。
**删除服务相关角色(API)**
1. 要提交服务相关角色的删除请求,请调用 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在请求中,指定角色名称。
如果服务相关角色正被使用或具有关联的资源,则无法删除它,因此您必须提交删除请求。如果不满足这些条件,该请求可能会被拒绝。您必须从响应中捕获 `DeletionTaskId` 以检查删除任务的状态。
1. 要检查删除的状态,请调用 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在请求中,指定 `DeletionTaskId`。
删除任务的状态可能是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果删除失败,则调用会返回失败的原因,以便您进行问题排查。