本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 網路流量監視器的服務連結角色
Network Flow Monitor 使用 AWS Identity and Access Management (IAM) [ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Network Flow Monitor 的一種特殊 IAM 角色類型。服務連結角色由 Network Flow Monitor 預先定義,並包含服務代表您呼叫其他 AWS 服務所需的所有許可。
Network Flow Monitor 會定義服務連結角色的許可,除非另外定義,否則只有 Network Flow Monitor 才能擔任這些角色。定義的許可包括信任政策和許可政策,且許可政策無法連結至其他 IAM 實體。
您必須先刪除角色的相關資源,才能刪除角色。此限制可保護您的 Network Flow Monitor 資源,避免您不小心移除資源的存取許可。
如需關於支援服務連結角色的其他服務的資訊,請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## Network Flow Monitor 的服務連結角色許可
Network Flow Monitor 使用以下服務連結角色:
+ **AWSServiceRoleForNetworkFlowMonitor**
+ **AWSServiceRoleForNetworkFlowMonitor\$1Topology**
### AWSServiceRoleForNetworkFlowMonitor 的服務連結角色許可
Network Flow Monitor 使用命名為 **AWSServiceRoleForNetworkFlowMonitor** 的服務連結角色。此角色允許 Network Flow Monitor 發佈針對執行個體之間以及執行個體和 AWS 位置之間的網路流量收集的 CloudWatch 彙總遙測指標。它還允許服務使用 AWS Organizations 來取得多帳戶案例的相關資訊。
此服務連結角色使用受管政策 `CloudWatchNetworkFlowMonitorServiceRolePolicy`。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor** 服務連結角色信任下列服務來擔任此角色:
+ `networkflowmonitor.amazonaws.com`
### AWSServiceRoleForNetworkFlowMonitor\$1Topology 的服務連結角色許可
Network Flow Monitor 使用命名為 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 的服務連結角色。此角色可讓 Network Flow Monitor 產生您搭配 Network Flow Monitor 使用之資源的拓撲快照。
此服務連結角色使用受管政策 `CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy`。
若要檢視此政策的許可,請參閱《AWS 受管政策參考》**中的 [CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy.html)。
**AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服務連結角色信任下列服務來擔任此角色:
+ `topology.networkflowmonitor.amazonaws.com`
## 建立 Network Flow Monitor 的服務連結角色
您不需要為 Network Flow Monitor 手動建立服務連結角色。第一次初始化 Network Flow Monitor 時,Network Flow Monitor 會為您建立 **AWSServiceRoleForNetworkFlowMonitor** 和 **AWSServiceRoleForNetworkFlowMonitor\$1Topology**。
如需詳細資訊,請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)」。
## 編輯 Network Flow Monitor 的服務連結角色
Network Flow Monitor 在帳戶中建立服務連接角色後,您就無法再變更角色名稱,因為有各種實體可能會參考該角色。您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 Network Flow Monitor 的服務連結角色
若您不再使用需要服務連結角色的功能或服務,我們建議您刪除該角色。如此一來,您就沒有未主動監控或維護的未使用實體。然而,在手動刪除服務連結角色之前,您必須先清除服務連結角色的資源。
**注意**
若 Network Flow Monitor 服務正在使用您試圖刪除的角色,刪除可能會失敗。若發生此情況,請等待數分鐘後並再次嘗試。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForNetworkFlowMonitor** 或 **AWSServiceRoleForNetworkFlowMonitor\$1Topology** 服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。
## Network Flow Monitor 服務連結角色更新
如需 Network Flow Monitor 服務連結角色的`CloudWatchNetworkFlowMonitorTopologyServiceRolePolicy` AWS 受管政策 `CloudWatchNetworkFlowMonitorServiceRolePolicy`或 的更新,請參閱 [CloudWatch AWS 受管政策的更新](managed-policies-cloudwatch.md#security-iam-awsmanpol-updates)。如需 CloudWatch 受管政策變更的自動提醒,請訂閱 CloudWatch [文件歷史紀錄](https://docs.aws.amazon.com/AmazonCloudWatch/latest/monitoring/DocumentHistory.html)頁面上的 RSS 摘要。