本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 用于成本分配的用户属性的服务关联角色
<a name="ubca-SLR"></a>

用于成本分配的用户属性使用 AWS 身份和访问管理 (IAM) Access [Management 服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特的 IAM 角色，直接链接到用户属性以进行成本分配。服务相关角色由用户属性预定义以进行成本分配，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色可以更轻松地设置用户属性以进行成本分配，因为您不必手动添加必要的权限。成本分配的用户属性定义了其服务相关角色的权限，除非另有定义，否则只有用于成本分配的用户属性才能担任该角色。定义的权限包括信任策略和权限策略，而且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其他服务的信息，请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，并查找 **Service-Linked Role**（服务相关角色）列中显示为 **Yes**（是）的服务。选择**是**和链接，查看该服务的服务关联角色文档。

## 用于成本分配的用户属性的服务相关角色权限
<a name="ubca-SLR-permissions"></a>

用于成本分配的用户属性使用名为的服务相关角色`AWSServiceRoleForUserAttributeCostAllocation`，该角色授予成本分配的用户属性代表您从 AWS IAM Identity Center 读取用户属性的权限。

`AWSServiceRoleForUserAttributeCostAllocation` 服务关联角色信任 `user-attribute-cost-allocation-data.amazonaws.com` 服务来代入角色。

服务相关角色使用两种类型的策略：
+ **内联角色权限策略：**包含允许成本分配的用户属性通过 Identity Store 访问您的 AWS IAM Identity Center 实例中的用户信息的权限 APIs。该策略包括客户加密身份中心数据时必需的 KMS 权限，其范围仅限于您的特定账户和 Identity Center 实例。
+ **AWS managed policy (AWSUserAttributeCostAllocationPolicy)：**为服务提供获取服务相关角色以供内部使用的额外权限。

有关 AWSUserAttributeCostAllocationPolicy 托管政策更新的更多信息，请参阅 B [AWS illing and Cost Management 的AWS 托管政策](security-iam-awsmanpol.html)。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅《IAM 用户指南》中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 为成本分配服务相关角色创建用户属性
<a name="ubca-create-SLR"></a>

您无需手动创建服务关联角色。当您在成本管理控制台中为成本分配启用用户属性时，该服务会自动为您创建与服务相关的角色。 AWS 

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您为成本分配启用用户属性时，该服务会再次为您创建服务相关角色。

## 编辑成本分配服务相关角色的用户属性
<a name="ubca-edit-SLR"></a>

由于多个实体可能引用 `AWSServiceRoleForUserAttributeCostAllocation` 服务相关角色，因此无法编辑该角色的名称或权限。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》中的[编辑服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除成本分配服务相关角色的用户属性
<a name="ubca-delete-SLR"></a>

如果您不再需要使用用户属性进行成本分配，我们建议您删除`AWSServiceRoleForUserAttributeCostAllocation`服务相关角色。这样您就没有未被主动监控或维护的未使用实体。但是，在手动删除服务相关角色之前，必须先选择退出用于成本分配的用户属性。

### 清除 服务相关角色
<a name="ubca-cleanup-SLR"></a>

在使用 IAM 删除服务相关角色之前，您必须先禁用成本分配首选项的用户属性中的所有用户属性，从而选择退出用于成本分配的用户属性。

### 手动删除服务相关角色
<a name="ubca-manual-delete-SLR"></a>

使用 IAM 控制台 AWS CLI、或 AWS API 删除`AWSServiceRoleForUserAttributeCostAllocation`服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 成本分配服务相关角色的用户属性支持的区域
<a name="ubca-SLR-regions"></a>

成本分配的用户属性支持在提供服务的所有 AWS 区域中使用服务相关角色。有关更多信息，请参阅 AWS 服务端点。