# 使用 Aurora DSQL 中的服务相关角色
<a name="working-with-service-linked-roles"></a>

 Aurora DSQL 使用 AWS Identity and Access Management（IAM）[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服务相关角色是一种独特类型的 IAM 角色，它与 Aurora DSQL 直接关联。服务相关角色由 Aurora DSQL 预定义，并包含服务代表 Aurora DSQL 集群调用 AWS 服务所需的所有权限。

服务相关角色可让设置过程变得更为容易，因为您不必手动添加使用 Aurora DSQL 所需的权限。创建集群时，Aurora DSQL 将自动为您创建服务相关角色。只有在删除所有集群之后，才可删除服务相关角色。这将保护您的 Aurora DSQL 资源，因为您不会无意中移除访问资源所需的权限。

有关支持服务相关角色的其它服务的信息，请参阅[使用 IAM 的 AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，并查找**服务相关角色**列中显示为**是**的服务。请选择**是**与查看该服务的服务关联角色文档的链接。

服务相关角色适用于所有受支持的 Aurora DSQL 区域。

## Aurora DSQL 的服务相关角色权限
<a name="working-with-service-linked-roles-permissions"></a>

Aurora DSQL 使用名为 `AWSServiceRoleForAuroraDsql` 的服务相关角色：支持 Amazon Aurora DSQL 代表您创建和管理 AWS 资源。此服务相关角色附加到以下托管式策略：[AuroraDsqlServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDsqlServiceLinkedRolePolicy.html)。

**注意**  
您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。您可能会遇到以下错误消息：`You don't have the permissions to create an Amazon Aurora DSQL service-linked role`。如果您看到此消息，请确保您已启用以下权限：  

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateDsqlServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "dsql.amazonaws.com"
                }
            }
        }
    ]
}
```
有关更多信息，请参阅[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions.html)。

## 创建服务相关角色
<a name="working-with-service-linked-roles-create"></a>

您无需手动创建 AuroraDSQLServiceLinkedRolePolicy 服务相关角色。Aurora DSQL 为您创建此服务相关角色。如果已从您的账户中删除 AuroraDSQLServiceLinkedRolePolicy 服务相关角色，Aurora DSQL 将在您创建新的 Aurora DSQL 集群时创建该角色。

## 编辑服务相关角色
<a name="working-with-service-linked-roles-edit"></a>

 Aurora DSQL 不支持您编辑 AuroraDSQLServiceLinkedRolePolicy 服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 控制台、AWS Command Line Interface (AWS CLI) 或 IAM API 编辑角色描述。

## 删除服务相关角色
<a name="working-with-service-linked-roles-delete"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样，您就没有未受主动监控或维护的未使用实体。

在删除账户的服务相关角色之前，必须删除该账户中的所有集群。

您可以使用 IAM 控制台、AWS CLI 或 IAM API 删除服务相关角色。有关更多信息，请参阅《IAM 用户指南》中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role)。

## Aurora DSQL 服务相关角色的受支持区域
<a name="working-with-service-linked-role-regions"></a>

Aurora DSQL 支持在该服务可用的所有区域中使用服务相关角色。有关更多信息，请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。