本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 建立角色和連接政策 (主控台)
一些先前列出的政策授予使用角色來設定 AWS 服務的能力,這些角色可讓這些服務代表您執行操作。工作職能政策會指定確切的角色名稱,您必須使用或至少包含字首,其指定可用名稱的第一個部分。若要建立這些角色之一,請執行下列程序中的步驟。
**為 AWS 服務 (IAM 主控台) 建立角色**
1. 登入 AWS 管理主控台 ,並在 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 開啟 IAM 主控台。
1. 在 IAM 主控台的導覽窗格中,選擇**角色**,然後選擇**建立角色**。
1. 對於 **Trusted entity type** (信任的實體類型),請選擇 **AWS 服務**。
1. 針對**服務或使用案例**,選擇服務,然後選擇使用案例。服務會定義使用案例,以包含服務所需的信任政策。
1. 選擇**下一步**。
1. 對於**許可政策**,選項取決於您選取的使用案例:
+ 如果服務定義了角色的許可,則您無法選取許可政策。
+ 從一組有限的許可政策中選取。
+ 從所有許可政策中選取。
+ 選取無許可政策,在建立角色之後建立政策,然後將政策連接到角色。
1. (選用) 設定[許可界限](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_boundaries.html)。這是進階功能,可用於服務角色,而不是服務連結的角色。
1. 開啟**設定許可界限**區段,然後選擇**使用許可界限來控制角色許可上限**。
IAM 包含您帳戶中 AWS 受管和客戶受管政策的清單。
1. 選取用於許可界限的政策。
1. 選擇**下一步**。
1. 對於**角色名稱**,選項取決於服務:
+ 如果服務定義了角色名稱,則無法編輯角色名稱。
+ 如果服務定義了角色名稱的字首,則可以輸入選用字尾。
+ 如果服務未定義角色名稱,則可以為角色命名。
**重要**
當您命名角色時,請注意下列事項:
角色名稱在您的 中必須是唯一的 AWS 帳戶,而且無法依大小寫設為唯一。
例如,不要同時建立名為 **PRODROLE** 和 **prodrole** 的角色。當角色名稱用於政策或 ARN 的一部分時,角色名稱會區分大小寫,但是當角色名稱在主控台中顯示給客戶時,例如在登入過程中,角色名稱不會區分大小寫。
因為其他實體可能會參考角色,所以在建立角色之後,就無法編輯其名稱。
1. (選用) 在**說明**中,輸入角色的說明。
1. (選用) 若要編輯使用案例和角色許可,請在**步驟 1:選取受信任的實體**或者**步驟 2:新增許可**區段中選擇**編輯**。
1. (選用) 若要協助識別、組織或搜尋角色,請將標籤新增為索引鍵值對。如需在 IAM 中使用標籤的詳細資訊,請參閱《*IAM 使用者指南*》中的[AWS Identity and Access Management 資源的標籤](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_tags.html)。
1. 檢閱角色,然後選擇 **Create role** (建立角色)。
## 範例 1:設定使用者做為資料庫管理員 (主控台)
此範例顯示設定 IAM 使用者 Alice 作為[資料庫管理員](access_policies_job-functions.md#jf_database-administrator)所需的步驟。您使用該區段中表格第一列的資訊,並允許使用者啟用 Amazon RDS 監控。您將 [DatabaseAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/DatabaseAdministrator) 政策連接到 Alice 的 IAM 使用者,讓他們可以管理 Amazon 資料庫服務。該政策也允許 Alice 將稱為 `rds-monitoring-role` 的角色傳遞到 Amazon RDS 服務,讓該服務代表他們來監控 Amazon RDS 資料庫。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 選擇**政策**,在搜尋方塊中輸入 **database**,然後按下 Enter 鍵。
1. 選取 **DatabaseAdministrator** 政策的選項按鈕,選擇**動作**,然後選擇**連接**。
1. 在實體清單中,選取 **Alice**,然後選擇**連接政策**。Alice 現在可管理 AWS 資料庫。不過,為允許 Alice 來監控這些資料庫,您必須設定服務角色。
1. 在 IAM 主控台的導覽窗格中,選擇 **Roles** (角色),然後選擇 **Create role** (建立角色)。
1. 選擇 **AWS Service** ( 服務) 角色類型,然後選擇 **Amazon RDS**。
1. 選擇 **Amazon RDS Role for Enhanced Monitoring** (增強監控的 Amazon RDS 角色) 使用案例。
1. Amazon RDS 定義角色的許可。選擇 **Next: Review (下一步:檢閱)** 以繼續進行。
1. 角色名稱必須是 Alice 現在所有的 DatabaseAdministrator 政策所指定的其中一個。其中一個是 **rds-monitoring-role**。為 **Role name** (角色名稱) 輸入該名稱。
1. (選用) 在 **Role description (角色說明)** 中,輸入新角色的說明。
1. 檢閱詳細資訊之後,選擇 **Create role (建立角色)**。
1. Alice 現在可以在 Amazon RDS 主控台的 **Monitoring** (監控) 區段中啟用 **RDS Enhanced Monitoring** (RDS 增強型監控)。例如,他們在建立資料庫執行個體、建立讀取複本或修改資料庫執行個體時,他們可能執行此操作。在將 **Enable Enhanced Monitoring** (啟用增強型監控) 設定為 **Yes** (是) 時,他們必須在 **Monitoring Role** (監控角色) 方塊中輸入他們建立的角色名稱 (rds-monitoring-role)。
## 範例 2:設定使用者做為網路管理員 (主控台)
此範例顯示設定 IAM 使用者 Jorge 作為[網路管理員](access_policies_job-functions.md#jf_network-administrator)所需的步驟。它使用該區段中表格的資訊,允許 Jorge 監控進出 VPC 的 IP 流量。它也允許 Jorge 在 CloudWatch Logs 中擷取日誌中的資訊。您可將 [NetworkAdministrator](https://console.aws.amazon.com/iam/home#policies/arn:aws:iam::aws:policy/job-function/NetworkAdministrator) 政策連接到 Jorge 的 IAM 使用者,讓他們可以設定 AWS 網路資源。該政策也會在您建立流程日誌時,讓 Jorge 將名稱開頭為 `flow-logs*` 的角色傳遞到 Amazon EC2。在這個案例中,不像範例 1,沒有預先定義的服務角色類型,所以您必須分別地執行幾個步驟。
1. 登入 AWS 管理主控台 並開啟位於 https://[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。
1. 在導覽窗格中,選擇**政策**,然後在搜尋方塊中輸入 **network**,再按下 Enter。
1. 選取 **NetworkAdministrator** 政策旁的選項按鈕,選擇**動作**,然後選擇**連接**。
1. 在使用者清單中,選取 **Jorge** 旁的核取方塊,然後選擇**連接政策**。Jorge 現在可管理 AWS 網路資源。不過,為啟用監控 VPC 中的 IP 流量,您必須設定服務角色。
1. 由於您需要建立的服務角色,沒有預先定義的受管政策,您必須先建立它。在導覽窗格中,選擇 **Policies** (政策),然後選擇 **Create policy** (建立政策)。
1. 在**政策編輯器**區段中,選擇 **JSON** 選項,並從下列 JSON 政策文件複製文字。將此文字貼上至 **JSON** 文字方框中。
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"logs:CreateLogGroup",
"logs:CreateLogStream",
"logs:PutLogEvents",
"logs:DescribeLogGroups",
"logs:DescribeLogStreams"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
1. 解決[政策驗證](access_policies_policy-validator.md)期間產生的任何安全性警告、錯誤或一般性警告,然後選擇 **Next** (下一步)。
**注意**
您可以隨時切換**視覺化**與 **JSON** 編輯器選項。不過,如果您進行變更或在**視覺化**編輯器中選擇**下一步**,IAM 就可能會調整您的政策結構,以便針對視覺化編輯器進行最佳化。如需詳細資訊,請參閱[政策結構調整](troubleshoot_policies.md#troubleshoot_viseditor-restructure)。
1. 在**檢視與建立**頁面上,針對政策名稱輸入 **vpc-flow-logs-policy-for-service-role**。檢視**此政策中定義的許可**以查看政策授與的許可,然後選擇**建立政策**來儲存您的工作。
新的政策會出現在受管政策清單中,並且已準備好連接。
1. 在 IAM 主控台的導覽窗格中,選擇 **Roles** (角色),然後選擇 **Create role** (建立角色)。
1. 選擇 **AWS Service** ( 服務) 角色類型,然後選擇 **Amazon EC2**。
1. 選擇 **Amazon EC2** 使用案例。
1. 在 **Attach permissions policies (連接許可政策)** 頁面上,選擇您稍早建立的政策 **vpc-flow-logs-policy-for-service-role**,然後選擇 **Next: Review (下一步:檢閱)**。
1. 角色名稱必須經過 Jorge 現在所有的 NetworkAdministrator 政策許可。任何以 `flow-logs-` 開頭的名稱均允許。在此範例中,為 **Role name** (角色名稱) 輸入 **flow-logs-for-jorge**。
1. (選用) 在 **Role description (角色說明)** 中,輸入新角色的說明。
1. 檢閱詳細資訊之後,選擇 **Create role (建立角色)**。
1. 現在您可以設定此案例所需的信任政策。在**角色**頁面上,選擇 **flow-logs-for-jorge** 角色 (名稱,而非核取方塊)。針對您的新角色,在詳細資訊頁面上,選擇 **Trust relationships (信任關係)** 標籤,然後選擇 **Edit trust relationship (編輯信任關係)**。
1. 將「Service (服務)」行讀取為如下所示,取代 `ec2.amazonaws.com` 的項目:
```
"Service": "vpc-flow-logs.amazonaws.com"
```
1. Jorge 現在可在 Amazon EC2 主控台中為 VPC 或子網路建立流程日誌。當您建立流程日誌時,指定 **flow-logs-for-jorge** 角色。該角色具有許可,以建立日誌和寫入資料。