本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# App Studio 的服務連結角色
<a name="appstudio-service-linked-roles"></a>

App Studio 使用 [AWS Identity and Access Management (IAM) 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html)。服務連結角色是直接連結至 App Studio 的唯一 IAM 角色類型。服務連結角色由 App Studio 預先定義，並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更輕鬆地設定 App Studio，因為您不必手動新增必要的許可。App Studio 定義其服務連結角色的許可，除非另有定義，否則只有 App Studio 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除服務連結角色的相關資源，才能將其刪除。這可保護您的 App Studio 資源，因為您不會不小心移除存取資源的許可。

**Topics**
+ [App Studio 的服務連結角色許可](#slr-permissions)
+ [為 App Studio 建立服務連結角色](#create-slr)
+ [編輯 App Studio 的服務連結角色](#edit-slr)
+ [刪除 App Studio 的服務連結角色](#delete-slr)

## App Studio 的服務連結角色許可
<a name="slr-permissions"></a>

App Studio 使用名為 的服務連結角色`AWSServiceRoleForAppStudio`。這是 App Studio 持續管理 AWS 服務以維護應用程式建置體驗所需的服務連結角色。

`AWSServiceRoleForAppStudio` 服務連結角色使用以下僅信任`appstudio-service.amazonaws.com`服務的信任政策：

------
#### [ JSON ]

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Effect": "Allow",
            "Principal": {
                "Service": "appstudio-service.amazonaws.com"
            },
            "Action": "sts:AssumeRole"
        }
    ]
}
```

------

針對許可，`AWSServiceRoleForAppStudio`服務連結角色會提供下列服務的許可：
+ Amazon CloudWatch：傳送 App Studio 用量的日誌和指標。
+ AWS Secrets Manager：管理 App Studio 中連接器的登入資料，用於將應用程式連線至其他 服務。
+ IAM Identity Center：唯讀存取以管理使用者存取。

具體而言，透過 授予的許可`AWSServiceRoleForAppStudio`是由連接的 `AppStudioServiceRolePolicy` 受管政策所定義。如需 受管政策的詳細資訊，包括其包含的許可，請參閱 [AWS 受管政策：AppStudioServiceRolePolicy](security-iam-awsmanpol.md#security-iam-awsmanpol-appstudioservicerolepolicy)。

## 為 App Studio 建立服務連結角色
<a name="create-slr"></a>

您不需要手動建立服務連結角色，當您建立 App Studio 執行個體時，App Studio 會為您建立服務連結角色。

如果您刪除此服務連結角色，建議您建立 App Studio 執行個體，以便為您自動建立另一個執行個體。

雖然不是不必要的，但您也可以使用 IAM 主控台 AWS CLI 或建立服務連結角色，方法是使用`appstudio-service.amazonaws.com`服務名稱建立服務連結角色，如先前顯示的信任政策程式碼片段所示。如需詳細資訊，請參閱《IAM 使用者指南》**中的「[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html)」。

## 編輯 App Studio 的服務連結角色
<a name="edit-slr"></a>

App Studio 不允許您編輯`AWSServiceRoleForAppStudio`服務連結角色。因為可能有各種實體會參考服務連結角色，所以您無法在建立角色之後變更其名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

## 刪除 App Studio 的服務連結角色
<a name="delete-slr"></a>

您不需要刪除`AWSServiceRoleForAppStudio`角色。當您刪除 App Studio 執行個體時，App Studio 會清除資源，並自動刪除服務連結角色。

雖然不建議，但您可以使用 IAM 主控台或 AWS CLI 來刪除服務連結角色。若要這樣做，您必須先清除服務連結角色的資源，然後才能將其刪除。

**注意**  
如果 App Studio 在您嘗試刪除資源時使用角色，則刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**使用 IAM 手動刪除服務連結角色**

1. 從 App Studio 執行個體刪除應用程式和連接器。

1. 使用 IAM 主控台、IAM CLI 或 IAM API 刪除 `AWSServiceRoleForAppStudio` 服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。