本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 将服务相关角色用于 Verified Access
<a name="using-service-linked-roles"></a>

AWS Verified Access 使用 IAM 服务相关角色，这是一种直接链接到 AWS 服务的 IAM 角色。Verified Access 的服务相关角色由 Verified Access 定义，包括该服务 AWS 服务 代表您呼叫他人所需的所有权限。

服务相关角色可让您更轻松地设置 Verified Access，因为您不必手动添加必要的权限。Verified Access 定义其服务相关角色的权限，除非另外定义，否则只有 Verified Access 可以代入该角色。定义的权限包括信任策略和权限策略，并且此权限策略不能附加到任何其他 IAM 实体。

## Verified Access 的服务相关角色权限
<a name="slr-permissions"></a>

Verified Ac **AWSServiceRoleForVPCVerifiedces** s 使用名为 Access 的服务相关角色在您的账户中配置使用该服务所需的资源。

A **AWSServiceRoleForVPCVerifiedcces** s 服务相关角色信任以下服务来代入该角色：
+ `verified-access.amazonaws.com`

名为的角色权限策略允许 **AWSVPCVerifiedAccessServiceRolePolicy**Verified Access 对指定资源完成以下操作：
+ 对所有子网和安全组以及所有带有 `VerifiedAccessManaged=true` 标签的网络接口执行操作 `ec2:CreateNetworkInterface`
+ 创建时对所有网络接口执行操作 `ec2:CreateTags`
+ 对所有带有 `VerifiedAccessManaged=true` 标签的网络接口执行操作 `ec2:DeleteNetworkInterface`
+ 对所有安全组以及所有带有 `VerifiedAccessManaged=true` 标签的网络接口执行操作 `ec2:ModifyNetworkInterfaceAttribute`

您也可以在《*AWS 托管策略参考指南》中查看此策略*的权限；请参阅[AWSVPCVerifiedAccessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCVerifiedAccessServiceRolePolicy.html)。

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务相关角色。有关更多信息，请参阅*《IAM 用户指南》*中的[服务相关角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。

## 为 Verified Access 创建服务相关角色
<a name="create-slr"></a>

您无需手动创建服务相关角色。当您调用**CreateVerifiedAccessEndpoint** AWS 管理控制台、或 AWS API 时， AWS CLI Verified Access 会为您创建服务相关角色。

如果您删除该服务相关角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您**CreateVerifiedAccessEndpoint**再次致电时，Verified Access 会再次为您创建服务相关角色。

## 编辑 Verified Access 的服务相关角色
<a name="edit-slr"></a>

已验证访问权限不允许您编辑 A **AWSServiceRoleForVPCVerifiedccess** 服务相关角色。创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 删除 Verified Access 的服务相关角色
<a name="delete-slr"></a>

您无需手动删除**AWSServiceRoleForVPCVerified访问**角色。当您调用**DeleteVerifiedAccessEndpoint** AWS 管理控制台、或 AWS API 时 AWS CLI，Verified Access 会清理资源并为您删除服务相关角色。

**使用 IAM 手动删除服务相关角色**

使用 IAM 控制台 AWS CLI、或 AWS API 删除 A **AWSServiceRoleForVPCVerifiedccess** 服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。

## Verified Access 服务相关角色的受支持区域
<a name="slr-regions"></a>

Verified Access 支持在所有提供服务 AWS 区域 的地方使用服务相关角色。有关更多信息，请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。