# 适用于 AWS Global Accelerator 的 AWS 托管式策略
AWS 托管式策略是由 AWS 创建和管理的独立策略。AWS 托管式策略旨在为许多常见用例提供权限,以便您可以开始为用户、组和角色分配权限。
请记住,AWS 托管式策略可能不会为您的特定使用场景授予最低权限,因为它们可供所有 AWS 客户使用。我们建议通过定义特定于您的使用场景的[客户托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#customer-managed-policies)来进一步减少权限。
您无法更改 AWS 托管式策略中定义的权限。如果 AWS 更新在 AWS 托管式策略中定义的权限,则更新会影响该策略所附加到的所有主体身份(用户、组和角色)。当新的 AWS 服务 启动或新的 API 操作可用于现有服务时,AWS 最有可能更新 AWS 托管式策略。
有关更多信息,请参阅*《IAM 用户指南》*中的 [AWS 托管式策略](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies)。
## AWS 托管策略:AWSServiceRoleForGlobalAccelerator
您不能将 `AWSServiceRoleForGlobalAccelerator` 附加到自己的 IAM 实体。此策略将附加到某个允许 AWS Global Accelerator 访问由 Global Accelerator 使用或管理的 AWS 服务和资源的服务相关角色。有关更多信息,请参阅 [AWS Global Accelerator的服务相关角色](using-service-linked-roles.md)。
## AWS 托管策略:GlobalAcceleratorReadOnlyAccess
您可以将 `GlobalAcceleratorReadOnlyAccess` 附加到 IAM 实体。此策略授予对 Global Accelerator 中使用加速器的操作的只读访问权限。如果用户只需要在控制台中查看信息或调用 AWS Command Line Interface 或 API(使用 `List*` 或 `Describe*` 操作),这很有用。
要查看此策略的权限,请参阅《AWS 托管策略参考》**中的 [GlobalAcceleratorReadOnlyAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorReadOnlyAccess.html)。
## AWS 托管策略:GlobalAcceleratorFullAccess
您可以将 `GlobalAcceleratorFullAccess` 附加到 IAM 实体。此策略授予对 Global Accelerator 中使用加速器的操作的完全访问权限。将此策略附加到需要对 Global Accelerator 的完全访问权限的 IAM 用户和其它主体。
**注意**
如果您创建的基于身份的权限策略不包括 Amazon EC2 和 Elastic Load Balancing 所需的权限,则拥有该策略的用户将无法为加速器添加 Amazon EC2 和 Elastic Load Balancing 资源。
要查看此策略的权限,请参阅《AWS 托管策略参考》**中的 [GlobalAcceleratorFullAccess](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/GlobalAcceleratorFullAccess.html)。
## AWS 托管策略的 Global Accelerator 更新
查看有关 Global Accelerator 的 AWS 托管策略更新的详细信息(从该服务开始跟踪这些更改开始)。有关此页面更改的自动提示,请订阅 Global Accelerator [文档历史记录页面](WhatsNew.md)上的 RSS 源。
| 更改 | 描述 | 日期 |
| --- | --- | --- |
| [AWSGlobalAcceleratorSLRPolicy](using-service-linked-roles.md#GAXSLRRole) – 更新的策略 | Global Accelerator 添加了新的权限来描述负载均衡器上的目标组。 Global Accelerator 使用 `elasticloadbalancing:DescribeTargetGroups` 识别目标类型为 `ip` 的负载均衡器,该目标类型是 Global Accelerator 中双堆栈负载均衡器端点不支持的目标类型。 | 2023 年 10 月 20 日 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy) – 更新的策略 | Global Accelerator 添加了新权限来描述负载均衡器上的侦听器以及 EC2 实例上的地址。 Global Accelerator 使用 `elasticloadbalancing:DescribeListeners` 支持根据侦听器配置为负载均衡器制定侦听器管理决策。 Global Accelerator 使用 `ec2:DescribeAddresses` 向加速器添加弹性 IP 地址端点。 | 2023 年 5 月 23 日 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy) – 更新的策略 | Global Acelerator 添加了新权限以支持 IPv6 地址。 Global Accelerator 使用 `ec2:AssignIpv6Addresses` 将客户子网上的 Global Accelerator ENI 更新为用于发送和接收 IPv6 流量的 IPv6 地址,并在不再需要 IPv6 地址时使用 `UnassignIpv6Addresses` 将其移除。 | 2021 年 11 月 15 日 |
| [AWSGlobalAcceleratorSLRPolicy](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/aws-service-role/AWSGlobalAcceleratorSLRPolicy) – 更新的策略 | Global Accelerator 添加了新权限,以帮助 Global Accelerator 诊断错误。 Global Accelerator 使用 `ec2:DescribeRegions` 确定客户所在的 AWS 区域,这可以帮助 Global Accelerator 对错误进行故障排除。 | 2021 年 5 月 18 日 |
| Global Accelerator 开始跟踪更改 | Global Accelerator 开始跟踪其 AWS 托管策略的更改。 | 2021 年 5 月 18 日 |