本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Amazon Lightsail 使用服务相关角色
<a name="amazon-lightsail-using-service-linked-roles"></a>

Amazon Lightsail 使用 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)角色。服务相关角色是一种独特的 IAM 角色，直接关联到 Amazon Lightsail。服务相关角色由 Amazon Lightsail 预定义，包括 Lightsail 代表您调用 AWS 其他服务所需的所有权限。

服务相关角色使设置 Amazon Lightsail 变得更加容易，因为您不必手动添加必要的权限。Amazon Lightsail 定义了其服务相关角色的权限，除非另有定义，否则只有亚马逊 Lightsail 才能担任其角色。定义的权限包括信任策略和权限策略，这些策略不能附加到任何其他 IAM 实体。

只有在首先删除相关资源后，您才能删除服务关联角色。这样可以保护您的 Amazon Lightsail 资源，因为您不会无意中删除访问这些资源的权限。

有关支持服务关联的角色的其他服务的信息，请参阅[与 IAM 配合使用的亚马逊云科技服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，并查找 **服务相关角色（Service-Linked Role）**列设为 **Yes**（是）的服务。选择**是**，可转到查看该服务的服务相关角色文档的链接。

## 亚马逊 Lightsail 的服务相关角色权限
<a name="slr-permissions"></a>

Amazon Lightsail 使用名为 **AWSServiceRoleForLightsail**“角色” 的服务相关角色将 Lightsail 实例和块存储磁盘快照导出到亚马逊弹性计算云 (Amazon EC2)，并从亚马逊简单存储服务 (Amazon S3) Simple Storage S3获取当前账户级别的阻止公共访问配置。

 AWSServiceRoleForLightsail 服务相关角色信任以下服务来代入该角色：
+ `lightsail.amazonaws.com`

角色权限策略允许 Amazon Lightsail 对指定资源完成以下操作：
+ 操作：`ec2:CopySnapshot`对所有 AWS 资源采取行动。
+ 操作：`ec2:DescribeSnapshots`对所有 AWS 资源采取行动。
+ 操作：`ec2:CopyImage`对所有 AWS 资源采取行动。
+ 操作：`ec2:DescribeImages`对所有 AWS 资源采取行动。
+ 操作：`cloudformation:DescribeStacks`在所有 AWS CloudFormation 堆栈上。
+ 操作：`s3:GetAccountPublicAccessBlock`对所有 AWS 资源采取行动。

### 服务相关角色权限
<a name="service-linked-role-permissions"></a>

您必须配置权限以允许 IAM 实体（例如，用户、组或角色）创建或编辑服务相关角色的描述。

**允许 IAM 实体创建特定服务相关角色**

将以下策略添加到需要创建服务相关角色的 IAM 实体中。

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "lightsail.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
        }
    ]
}
```

------

**允许 IAM 实体创建任何服务相关角色**

将以下语句添加到 IAM 实体的权限策略，该实体需要创建服务相关角色或任何包含所需策略的服务角色。此策略会将策略附加到角色。

```
{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

**允许 IAM 实体编辑任何服务角色的描述**

将以下语句添加到 IAM 实体的权限策略，该实体需要编辑服务相关角色或任何服务角色的描述。

```
{
    "Effect": "Allow",
    "Action": "iam:UpdateRoleDescription",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

**允许 IAM 实体删除特定服务相关角色**

将以下语句添加到需要删除服务相关角色的 IAM 实体的权限策略。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/lightsail.amazonaws.com/AWSServiceRoleForLightsail*"
}
```

**允许 IAM 实体删除任何服务相关角色**

将以下语句添加到 IAM 实体的权限策略，该实体需要删除服务相关角色或任何服务角色。

```
{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```

或者，您可以使用 AWS 托管策略来提供对服务的完全访问权限。

## 为 Amazon Lightsail 创建服务相关角色
<a name="create-slr"></a>

您无需手动创建服务关联角色。当您将 Lightsail 实例或块存储磁盘快照导出到 Amazon EC2，或者在、或 API 中创建或更新 Lightsail 存储桶时 AWS AWS 管理控制台， AWS Amazon Lightsail 会为您创建服务相关角色。 AWS CLI

如果您删除了此服务相关角色然后需要再次创建它，则可以使用相同的流程在您的账户中重新创建此角色。当你将 Lightsail 实例或块存储磁盘快照导出到 Amazon EC2，或者创建或更新 Lightsail 存储桶时，Amazon Lightsail 会再次为您创建服务相关角色。

**重要**  
您必须配置 IAM 权限才能允许 Amazon Lightsail 创建服务相关角色。为此，请完成以下*服务相关角色权限*部分中的步骤。

## 编辑 Amazon Lightsail 的服务相关角色
<a name="edit-slr"></a>

Amazon Lightsail 不允许您编辑 AWSServiceRoleForLightsail 服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 删除 Amazon Lightsail 的服务相关角色
<a name="delete-slr"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，在删除 AWSServiceRoleForLightsail服务相关角色之前，您必须确认没有处于待复制状态的 Amazon Lightsail 实例或磁盘快照。有关更多信息，请参阅[将快照导出到 Amazon EC2](amazon-lightsail-exporting-snapshots-to-amazon-ec2.md)。

**使用 IAM 手动删除服务关联角色**

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForLightsail 服务相关角色。有关更多信息，请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

## 亚马逊 Lightsail 服务相关角色支持的区域
<a name="slr-regions"></a>

Amazon Lightsail 支持在提供服务的所有地区使用服务相关角色。有关 Lightsail 在哪些地区可用的更多信息，请参阅[亚马逊 Lightsail](https://docs.aws.amazon.com/general/latest/gr/rande.html#lightsail_region) 区域。