本文属于机器翻译版本。若本译文内容与英语原文存在差异，则一律以英文原文为准。

# 在 Amazon WorkSpaces 安全浏览器中使用服务相关角色
<a name="using-service-linked-roles"></a>

Amazon WorkSpaces 安全浏览器使用 AWS Identity and Access Management (IAM) [服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服务相关角色是一种独特的 IAM 角色，直接链接到 WorkSpaces 安全浏览器。服务相关角色由 WorkSpaces Secure Browser 预定义，包括该服务代表您调用其他 AWS 服务所需的所有权限。

由于您不必手动添加必要的权限，因此与服务相关的角色可以更轻松地设置 WorkSpaces 安全浏览器。 WorkSpaces 安全浏览器定义其服务相关角色的权限，除非另有定义，否则只有 WorkSpaces 安全浏览器才能担任其角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。

只有在首先删除服务相关角色的相关资源后，才能删除该角色。这可以保护您的 WorkSpaces 安全浏览器资源，因为您不会无意中删除访问这些资源的权限。

有关支持服务相关角色的其他服务的信息，请参阅[使用 IAM 的AWS 服务](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)并查找**服务相关角色**列中显示为**是**的服务。选择**是**和链接，查看该服务的服务关联角色文档。

**Topics**
+ [WorkSpaces 安全浏览器的服务相关角色权限](slr-permissions.md)
+ [为 WorkSpaces 安全浏览器创建服务相关角色](create-slr.md)
+ [编辑 WorkSpaces 安全浏览器的服务相关角色](edit-slr.md)
+ [删除 WorkSpaces 安全浏览器的服务相关角色](delete-slr.md)
+ [WorkSpaces 安全浏览器服务相关角色支持的区域](slr-regions.md)

# WorkSpaces 安全浏览器的服务相关角色权限
<a name="slr-permissions"></a>

WorkSpaces 安全浏览器使用名为的服务相关角色 `AWSServiceRoleForAmazonWorkSpacesWeb` —— WorkSpaces 安全浏览器使用此服务相关角色访问客户账户的 Amazon EC2 资源以获取流媒体实例和 CloudWatch 指标。

`AWSServiceRoleForAmazonWorkSpacesWeb` 服务相关角色信任以下服务代入该角色：
+ `workspaces-web.amazonaws.com`

名为的角色权限策略`AmazonWorkSpacesWebServiceRolePolicy`允许 WorkSpaces 安全浏览器对指定资源完成以下操作。有关更多信息，请参阅 [AWS 托管策略： AmazonWorkSpacesWebServiceRolePolicy](security-iam-awsmanpol-AmazonWorkSpacesWebServiceRolePolicy.md)。
+ 操作：`all AWS resources` 上的 `ec2:DescribeVpcs`
+ 操作：`ec2:DescribeSubnets` 上的 `all AWS resources`
+ 操作：`ec2:DescribeAvailabilityZones` 上的 `all AWS resources`
+ 操作：针对子网和安全组资源的 `ec2:CreateNetworkInterface` 操作（通过 `aws:RequestTag/WorkSpacesWebManaged: true`）
+ 操作：`all AWS resources` 上的 `ec2:DescribeNetworkInterfaces`
+ 操作：针对网络接口的 `ec2:DeleteNetworkInterface` 操作（通过 `aws:ResourceTag/WorkSpacesWebManaged: true`）
+ 操作：`all AWS resources` 上的 `ec2:DescribeSubnets`
+ 操作：`ec2:AssociateAddress` 上的 `all AWS resources`
+ 操作：`ec2:DisassociateAddress` 上的 `all AWS resources`
+ 操作：`ec2:DescribeRouteTables` 上的 `all AWS resources`
+ 操作：`ec2:DescribeSecurityGroups` 上的 `all AWS resources`
+ 操作：`ec2:DescribeVpcEndpoints` 上的 `all AWS resources`
+ 操作：针对 `ec2:CreateNetworkInterface` 的 `ec2:CreateTags` 操作（通过 `aws:TagKeys: ["WorkSpacesWebManaged"]`）
+ 操作：`all AWS resources` 上的 `cloudwatch:PutMetricData`
+ 操作：针对名称以 `amazon-workspaces-web-` 开头的 Kinesis 数据流的 `kinesis:PutRecord` 操作 
+ 操作：针对名称以 `amazon-workspaces-web-` 开头的 Kinesis 数据流的 `kinesis:PutRecords` 操作 
+ 操作：针对名称以 `amazon-workspaces-web-` 开头的 Kinesis 数据流的 `kinesis:DescribeStreamSummary` 操作 

您必须配置权限，允许 IAM 实体（如用户、组或角色）创建、编辑或删除服务关联角色。有关更多信息，请参阅《IAM 用户指南》**中的[服务关联角色权限](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

# 为 WorkSpaces 安全浏览器创建服务相关角色
<a name="create-slr"></a>

您无需手动创建服务关联角色。当您在 AWS 管理控制台、或 AWS API 中创建第一个门户时， WorkSpaces 安全浏览器会为您创建服务相关角色。 AWS CLI

**重要**  
如果您在其他使用此角色支持的功能的服务中完成某个操作，此服务关联角色可以出现在您的账户中。

如果您删除了此服务相关角色，而后需要再次创建它，则可以使用相同的流程在您的账户中重新创建此角色。当您创建第一个门户时， WorkSpaces 安全浏览器会再次为您创建服务相关角色。

您还可以使用 IAM 控制台通过**WorkSpaces 安全浏览器**用例创建服务相关角色。在 AWS CLI 或 AWS API 中，使用服务名称创建服务相关角色。`workspaces-web.amazonaws.com`有关更多信息，请参阅《IAM 用户指南》**中的[创建服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。如果您删除了此服务相关角色，可以使用同样的过程再次创建角色。

# 编辑 WorkSpaces 安全浏览器的服务相关角色
<a name="edit-slr"></a>

WorkSpaces 安全浏览器不允许您编辑`AWSServiceRoleForAmazonWorkSpacesWeb`服务相关角色。在创建服务相关角色后，您将无法更改角色的名称，因为可能有多种实体引用该角色。不过，您可以使用 IAM 编辑角色的说明。有关更多信息，请参阅《IAM 用户指南》**中的[编辑服务关联角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

# 删除 WorkSpaces 安全浏览器的服务相关角色
<a name="delete-slr"></a>

如果不再需要使用某个需要服务关联角色的功能或服务，我们建议您删除该角色。这样就没有未被主动监控或维护的未使用实体。但是，必须先清除服务相关角色的资源，然后才能手动删除它。

**注意**  
如果您尝试删除资源时， WorkSpaces 安全浏览器服务正在使用该角色，则删除可能会失败。如果发生这种情况，请等待几分钟后重试。

**删除使用的 WorkSpaces 安全浏览器资源 AWSService RoleForAmazonWorkSpacesWeb**
+ 请选择以下选项之一：
  + 如果您使用控制台，请删除控制台上的所有门户。
  + 如果您使用 CLI 或 API，请取消所有资源（包括浏览器设置、网络设置、用户设置、信任存储和用户访问日志记录设置）与门户的关联，删除这些资源，然后删除这些门户。

**使用 IAM 手动删除服务关联角色**

使用 IAM 控制台 AWS CLI、或 AWS API 删除 AWSServiceRoleForAmazonWorkSpacesWeb服务相关角色。有关更多信息，请参见《IAM 用户指南》**中的[删除服务相关角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。

# WorkSpaces 安全浏览器服务相关角色支持的区域
<a name="slr-regions"></a>

WorkSpaces Secure Browser 支持在提供服务的所有地区使用服务相关角色。有关更多信息，请参阅 [AWS 区域和端点](https://docs.aws.amazon.com/general/latest/gr/rande.html)。