本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 使用 Macie 的服务相关角色
<a name="service-linked-roles"></a>

亚马逊 Macie 使用名为的 AWS Identity and Access Management (IAM) [服务相关](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)角色。`AWSServiceRoleForAmazonMacie`此服务相关角色是直接链接到 Macie 的独特 IAM 角色。它是由 Macie 预定义的，它包含 Macie 代表你调用其他资源 AWS 服务 和监控 AWS 资源所需的所有权限。Macie 在所有可用 Macie AWS 区域 的地方都使用这个与服务相关的角色。

您可以使用服务相关角色轻松设置 Macie，因为您不必手动添加所需的权限。Macie 定义此服务相关角色的权限，除非另外定义，否则只有 Macie 可以代入该角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

有关支持服务相关角色的其他服务的信息，请参阅[与 IAM 配合使用的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，并查找 **Service-linked roles**（服务相关角色）列中显示为 **Yes**（是）的服务。请选择**是**与查看该服务的服务相关角色文档的链接。

**Topics**
+ [Macie 的服务相关角色权限](#slr-permissions)
+ [创建 Macie 服务相关角色](#create-slr)
+ [编辑 Macie 服务相关角色](#edit-slr)
+ [删除 Macie 服务相关角色](#delete-slr)
+ [支持的 AWS 区域](#slr-regions)

## Macie 的服务相关角色权限
<a name="slr-permissions"></a>

Amazon Macie 使用名为 `AWSServiceRoleForAmazonMacie` 的服务相关角色。该服务相关角色信任 `macie.amazonaws.com` 服务担任该角色。

名为 `AmazonMacieServiceRolePolicy` 的角色的权限策略允许 Macie 在指定资源上执行以下任务：
+ 使用 Amazon S3 操作检索有关 S3 存储桶和对象的信息。
+ 使用 Amazon S3 操作检索 S3 对象。
+ 使用 AWS Organizations 操作来检索有关关联账户的信息。
+ 使用 Amazon Log CloudWatch s 操作记录敏感数据发现任务的事件。

要查看此策略的权限，请参阅《AWS 托管式策略参考》**中的 [AmazonMacieServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AmazonMacieServiceRolePolicy.html)。

有关本政策更新的详细信息，请参阅[Macie AWS 托管策略的更新](security-iam-awsmanpol.md#security-iam-awsmanpol-updates)。如需获得有关本政策变更的自动提示，请订阅 [Macie 文档历史](doc-history.md)页面上的 RSS 源。

您必须为 IAM 实体（例如用户或角色）配置权限，以允许该实体创建、编辑或删除服务相关角色。有关更多信息，请参阅*《IAM 用户指南》*中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。

## 创建 Macie 的服务相关角色
<a name="create-slr"></a>

无需手动为 Amazon Macie 创建 `AWSServiceRoleForAmazonMacie` 服务相关角色。当你为你的启用 Macie 时 AWS 账户，Macie 会自动为你创建与服务相关的角色。

如果删除此 Macie 服务相关角色然后需要再次创建它，则可以使用相同的流程在您的账户中重新创建此角色。当您再次启用 Macie 时，Macie 将再次为您创建服务相关角色。

## 编辑 Macie 的服务相关角色
<a name="edit-slr"></a>

Amazon Macie 不允许您编辑 `AWSServiceRoleForAmazonMacie` 服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色说明。有关更多信息，请参阅*《IAM 用户指南》*中的[更新服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html)。

## 删除 Macie 的服务相关角色
<a name="delete-slr"></a>

只有在删除服务相关角色的相关资源后，您才能删除该角色。这可以保护您的资源，因为您不会无意中删除对资源的访问权限。

如果您不再使用 Amazon Macie，我们建议您删除 `AWSServiceRoleForAmazonMacie` 服务相关角色。当您禁用 Macie 时，Macie 不会为您删除该角色。

在删除角色之前，必须在每个启用该角色 AWS 区域 的地方禁用 Macie。您还必须手动清理该角色的资源。要删除角色，您可以使用 IAM 控制台 AWS CLI、或 AWS API。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。

**注意**  
在您尝试删除资源时，如果 Macie 正在使用 `AWSServiceRoleForAmazonMacie` 角色，删除操作可能会失败。如果发生这种情况，请等待几分钟，然后再次尝试操作。

如果您删除了 `AWSServiceRoleForAmazonMacie` 服务相关角色然后需要再次创建它，则可以通过为您的账户启用 Macie 再次创建它。当您再次启用 Macie 时，Macie 将再次为您创建服务相关角色。

## 支持 M AWS 区域 acie 服务相关角色
<a name="slr-regions"></a>

Amazon Macie 支持在所有 Macie 可用 AWS 区域 的地方使用`AWSServiceRoleForAmazonMacie`服务相关角色。有关当前已推出 Macie 的所有区域的列表，请参阅 *AWS 一般参考* 中的 [Amazon Macie 端点和配额](https://docs.aws.amazon.com/general/latest/gr/macie.html)。