本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# App Studio 的服务相关角色
<a name="appstudio-service-linked-roles"></a>

App Studio 使用 [AWS Identity and Access Management (IAM) 服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服务相关角色是一种独特的 IAM 角色，直接关联到 App Studio。服务相关角色由 App Studio 预定义，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置 App Studio 变得更加容易，因为您不必手动添加必要的权限。App Studio 定义了其服务相关角色的权限，除非另有定义，否则只有 App Studio 可以担任其角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后，您才能删除服务关联角色。这样可以保护您的 App Studio 资源，因为您不会无意中移除访问这些资源的权限。

**Topics**
+ [App Studio 的服务相关角色权限](#slr-permissions)
+ [为 App Studio 创建服务相关角色](#create-slr)
+ [编辑 App Studio 的服务相关角色](#edit-slr)
+ [删除 App Studio 的服务相关角色](#delete-slr)

## App Studio 的服务相关角色权限
<a name="slr-permissions"></a>

App Studio 使用名为`AWSServiceRoleForAppStudio`的服务相关角色。这是 App Studio 持续管理 AWS 服务、维护应用程序构建体验所需的服务相关角色。

`AWSServiceRoleForAppStudio`服务相关角色使用以下信任策略，该策略仅信任`appstudio-service.amazonaws.com`服务：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "appstudio-service.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

对于权限，`AWSServiceRoleForAppStudio`服务相关角色提供对以下服务的权限：
+ 亚马逊 CloudWatch：发送有关 App Studio 使用情况的日志和指标。
+ AWS Secrets Manager：在 App Studio 中管理连接器的凭据，用于将应用程序连接到其他服务。
+ IAM 身份中心：只读访问权限以管理用户访问权限。

具体而言，授予的`AWSServiceRoleForAppStudio`权限由附加的`AppStudioServiceRolePolicy`托管策略定义。有关托管策略的更多信息（包括其包含的权限），请参阅[AWS 托管策略： AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy)。

## 为 App Studio 创建服务相关角色
<a name="create-slr"></a>

您无需手动创建服务关联角色。当您创建 App Studio 实例时，App Studio 会为您创建服务相关角色。

如果您删除此服务相关角色，建议您创建一个 App Studio 实例，以便自动为您创建另一个实例。

尽管不是必需的，但您也可以使用 IAM 控制台或 AWS CLI 通过使用服务名称创建服务相关角色来创建服务相关角色，如前`appstudio-service.amazonaws.com`面显示的信任策略片段所示。有关更多信息，请参阅 *IAM 用户指南* 中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)。

## 编辑 App Studio 的服务相关角色
<a name="edit-slr"></a>

App Studio 不允许您编辑`AWSServiceRoleForAppStudio`服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 App Studio 的服务相关角色
<a name="delete-slr"></a>

您无需删除该`AWSServiceRoleForAppStudio`角色。当您删除 App Studio 实例时，App Studio 会自动清理资源并删除与服务相关的角色。

虽然不建议这样做，但您可以使用 IAM 控制台或删除服务相关角色。 AWS CLI 为此，您必须先清理服务相关角色的资源，然后才能将其删除。

**注意**  
如果您尝试删除资源时 App Studio 正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**使用 IAM 手动删除服务关联角色**

1. 从 App Studio 实例中删除应用程序和连接器。

1. 使用 IAM 控制台、IAM CLI 或 IAM API 删除 `AWSServiceRoleForAppStudio` 服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。