**引入全新的主机体验 AWS WAF**
现在,您可以使用更新的体验访问控制台中任意位置的 AWS WAF 功能。有关更多详细信息,请参阅[使用控制台](https://docs.aws.amazon.com/waf/latest/developerguide/working-with-console.html)。
本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 使用 Firewall Manager 的服务相关角色
AWS Firewall Manager 使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种与 Firewall Manager 直接关联的独特类型的 IAM 角色。服务相关角色由 Firewall Manager 预定义,包括该服务代表您调用其他 AWS 服务所需的所有权限。
服务相关角色可让您更轻松地设置 Firewall Manager,因为您不必手动添加必要的权限。Firewall Manager 定义其服务相关角色的权限,除非另外定义,否则只有 Firewall Manager 可以代入该角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。
只有在先删除角色的相关资源后,才能删除服务相关角色。这将保护您的 Firewall Manager 资源,因为您不会无意中删除对资源的访问权限。
有关支持服务相关角色的其他服务的信息,请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接,查看该服务的服务关联角色文档。
## Firewall Manager 的服务相关角色权限
AWS Firewall Manager 使用服务相关角色名称 AWSService RoleFor FMS 允许 Firewall Manager 代表您呼叫 AWS 服务以管理防火墙策略和 AWS Organizations 帐户资源。此策略已附加到 AWS 托管角色`AWSServiceRoleForFMS`。有关托管策略的更多信息,请参阅 [AWS 托管策略:`FMSServiceRolePolicy`](fms-security-iam-awsmanpol.md#security-iam-awsmanpol-FMSServiceRolePolicy)。
AWSServiceRoleForFMS 服务相关角色信任该服务来代替该角色。`fms.amazonaws.com`
角色权限策略允许 Firewall Manager 对指定资源完成以下操作:
+ `waf`-管理您账户中的 AWS WAF 经典网站 ACLs、规则组权限和网络 ACLs 关联。
+ `ec2` - 管理弹性网络接口和 Amazon EC2 实例上的安全组。管理 Amaz ACLs on VPC 子网上的网络。
+ `vpc` - 管理 Amazon VPC 中的子网、路由表、标签和终端节点。
+ `wafv2`-管理您账户中的 AWS WAF 网站 ACLs、规则组权限和网络 ACLs 关联。
+ `cloudfront`-创建网络 ACLs 以保护 CloudFront 发行版。
+ `config`-在您的账户中管理防火墙管理器拥有的 AWS Config 规则。
+ `iam`-管理此服务相关角色,如果配置日志记录 AWS WAF 和 Shield 策略,则创建必需角色和 AWS WAF Shield 服务相关角色。
+ `organization`-创建由 Firewall Manager 拥有的服务相关角色来管理防火墙管理器使用的 AWS Organizations 资源。
+ `shield`-管理您账户中资源的 AWS Shield 保护和 L7 缓解配置。
+ `ram`-管理 DNS 防火墙规则组和 Network Firewall 规则组的 AWS RAM 资源共享。
+ `network-firewall`-管理您的账户中防火墙管理器拥有的 AWS Network Firewall 资源和相关的 Amazon VPC 资源。
+ `route53resolver` - 管理账户中 Firewall Manager 拥有的 DNS 防火墙关联。
在 IAM 控制台中查看完整政策:[FMSServiceRolePolicy](https://console.aws.amazon.com/iam/home#/policies/arn:aws:iam::aws:policy/aws-service-role/FMSServiceRolePolicy$serviceLevelSummary)。
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。有关更多信息,请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
## 为 Firewall Manager 创建服务相关角色
您无需手动创建服务关联角色。当你在上启用 Firewall Manager 登录时 AWS 管理控制台,或者在防火墙管理器 CLI 或 Firewall Manager API 中`PutLoggingConfiguration`提出请求时,Firewall Manager 会为你创建服务相关角色。
您必须具有 `iam:CreateServiceLinkedRole` 权限以启用日志记录。
如果您删除该服务关联角色,然后需要再次创建,您可以使用相同流程在账户中重新创建此角色。当您启用 Firewall Manager 日志记录时,Firewall Manager 再次为您创建服务相关角色。
## 编辑 Firewall Manager 的服务相关角色
Firewall Manager 不允许您编辑 AWSService RoleFor FMS 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除 Firewall Manager 的服务相关角色
如果不再需要使用某个需要服务关联角色的功能或服务,我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是,必须先清除服务相关角色的资源,然后才能手动删除它。
**注意**
如果在您试图删除资源时 Firewall Manager 服务正在使用该角色,则删除操作可能会失败。如果发生这种情况,请等待几分钟后重试。
**使用 IAM 删除服务相关角色**
使用 IAM 控制台、IAM CLI 或 IAM API 删除 AWSService RoleFor FMS 服务相关角色。有关更多信息,请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Firewall Manager 服务相关角色支持的区域
Firewall Manager 支持在服务可用的所有区域中使用服务相关角色。有关更多信息,请参阅 [Firewall Manager 端点和限额](https://docs.aws.amazon.com/general/latest/gr/firewallmanager.html)。