本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 的服务相关角色 AWS CloudHSM
您之前创建的 IAM 策略[客户管理的政策 AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm)包含该`iam:CreateServiceLinkedRole`操作。 AWS CloudHSM 定义了一个名为 **AWSServiceRoleForCloudHSM** 的[服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。该角色由预定义 AWS CloudHSM ,包括代表您调用其他 AWS 服务 AWS CloudHSM 所需的权限。通过该角色可以更轻松地设置您的服务,因为您无需手动添加角色策略和信任策略权限。
角色策略 AWS CloudHSM 允许创建 Amazon Log CloudWatch s 日志组和日志流,并代表您写入日志事件。您可以在下面以及 IAM 控制台中查看该策略。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogStreams"
],
"Resource": [
"arn:aws:logs:*:*:*"
]
}
]
}
```
------
**AWSServiceRoleForCloudHSM** 角色的信任策略允许代 AWS CloudHSM 入该角色。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Principal": {
"Service": "cloudhsm.amazonaws.com"
},
"Action": "sts:AssumeRole"
}
]
}
```
------
## 创建服务相关角色 (自动)
AWS CloudHSM 如果您在创建 AWS CloudHSM 管理员组时定义的权限中包含`iam:CreateServiceLinkedRole`操作,则会在创建集群时创建 **AWSServiceRoleForCloudHSM** 角色。请参阅[客户管理的政策 AWS CloudHSM](identity-access-management.md#permissions-for-cloudhsm)。
如果您已经有一个或多个集群并且只想添加 **AWSServiceRoleForCloudHSM** 角色,则可以使用控制台、[create-cluster 命令或 [CreateCluster](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_CreateCluster.html)API 操作来创建集群](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/create-cluster.html)。然后使用控制台、[delete-cluster](https://docs.aws.amazon.com/cli/latest/reference/cloudhsmv2/delete-cluster.html) 命令或 [DeleteCluster](https://docs.aws.amazon.com/cloudhsm/latest/APIReference/API_DeleteCluster.html)API 操作将其删除。创建新集群时,会创建服务相关角色并将其应用到您的账户中的所有集群。或者,您可以手动创建该角色。有关更多信息,请参阅下文的 部分。
**注意**
如果您只是为了添加 **AWSServiceRoleForCloudHSM** 角色而创建集群,则无需执行中[入门 AWS CloudHSM](getting-started.md)概述的所有步骤来创建集群。
## 创建服务相关角色 (手动)
您可以使用 IAM 控制台或 API 创建 **AWSServiceRoleForCloudHSM** 角色。 AWS CLI有关更多信息,请参阅*《IAM 用户指南》*中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
## 编辑服务相关角色
AWS CloudHSM 不允许您编辑 **AWSServiceRoleForCloudHSM** 角色。例如,在创建该角色后,您无法更改其名称,因为可能有不同的实体使用名称来引用该角色。此外,您无法更改角色策略。不过,您可以使用 IAM 编辑角色描述。有关更多信息,请参见 *IAM 用户指南*中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 服务相关角色
只要服务相关角色应用于的集群仍然存在,您就无法删除该角色。要删除该角色,必须先删除集群中的每个 HSM,然后删除集群。必须删除您的账户中的每个集群。然后,您可以使用 IAM 控制台或 API 删除该角色。 AWS CLI有关删除集群的更多信息,请参阅[删除集 AWS CloudHSM 群](delete-cluster.md)。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。