本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 为 Site-to-Site VPN 使用服务相关角色
<a name="using-service-linked-roles"></a>

AWS Site-to-Site VPN 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色，直接关联到 Site-to-Site VPN。服务相关角色由 Site-to-Site VPN 预定义，包括该服务代表您调用其他 AWS 服务所需的所有权限。

服务相关角色使设置 Site-to-Site VPN 变得更加容易，因为您不必手动添加必要的权限。 Site-to-SiteVPN 定义其服务相关角色的权限，除非另有定义，否则只有 Site-to-Site VPN 可以担任其角色。定义的权限包括信任策略和权限策略，以及不能附加到任何其他 IAM 实体的权限策略。

只有在首先删除相关资源后，您才能删除服务关联角色。这样可以保护您的 Site-to-Site VPN 资源，因为您不会无意中删除访问这些资源的权限。

## VPN 的服务相关角色权限 Site-to-Site
<a name="slr-permissions"></a>

Site-to-Site VPN 使用名为 **AWSServiceRoleForVPCS2SVPN** 的服务相关角色——允许 Site-to-Site VPN 创建和管理与您的 VPN 连接相关的资源。

S AWSService RoleFor VPCS2 VPN 服务相关角色信任以下服务来代入该角色：
+ `s2svpn.amazonaws.com`

此服务相关角色使用托管策略 AWSVPCS2SVpnServiceRolePolicy 对指定资源完成以下操作：
+ 在 VPN 连接中使用证书身份验证时，请 AWS Site-to-Site VPN 导出 VPN 隧道 AWS Certificate Manager 证书以在 VPN 隧道端点上使用。
+ 在 VPN 连接中使用证书身份验证时， AWS Site-to-Site VPN 管理 VPN 隧道 AWS Certificate Manager 证书的续订。
+ 在 VPN 连接中使用 SecretsManager 预共享密钥存储时， AWS Site-to-Site VPN 管理 VPN 连接的 AWS Secrets Manager s2svpn 托管密钥。

要查看此策略的权限，请参阅《AWS 托管式策略参考》中的 [AWSVPCS2SVpnServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCS2SVpnServiceRolePolicy.html)**。

## 为 VPN 创建服务相关角色 Site-to-Site
<a name="create-slr"></a>

您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中创建带有关联的 ACM 私有证书的客户网关时 AWS CLI， Site-to-SiteVPN 会为您创建服务相关角色。

如果您删除该服务关联角色，然后需要再次创建，您可以使用相同流程在账户中重新创建此角色。当您使用关联的 ACM 私有证书创建客户网关时， Site-to-SiteVPN 会再次为您创建服务相关角色。

## 编辑 VPN 的服务相关角色 Site-to-Site
<a name="edit-slr"></a>

Site-to-Site VPN 不允许您编辑 AWSService RoleFor VPCS2 SVPN 服务相关角色。创建服务关联角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。但是可以使用 IAM 编辑角色描述。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务相关角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 删除 VPN 的服务相关角色 Site-to-Site
<a name="delete-slr"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，必须先清除服务相关角色的资源，然后才能手动删除它。

**注意**  
如果您尝试删除资源时 Site-to-Site VPN 服务正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**删除 S Site-to-Site VPN 使用的 AWSService RoleFor VPCS2 VPN 资源**  
只有在删除具有关联 ACM 私有证书的所有客户网关之后，您才能删除此服务相关角色。这样可以确保您不会无意中移除 VPN 连接正在使用的 ACM 证书的访问权限。 Site-to-Site

**使用 IAM 手动删除服务关联角色**  
使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSService RoleFor VPCS2 SVPN 服务相关角色。有关更多信息，请参阅《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。