本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用 的服務連結角色 AWS Audit Manager
<a name="using-service-linked-roles"></a>

AWS Audit Manager use AWS Identity and Access Management (IAM)[ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 Audit Manager 的特殊 IAM 角色類型。服務連結角色由 Audit Manager 預先定義，並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓您更 AWS Audit Manager 輕鬆地設定，因為您不必手動新增必要的許可。Audit Manager 定義其服務連結角色的許可，除非另有定義，否則僅有 Audit Manager 可以擔任其角色。定義的許可包括信任政策和許可政策，並且該許可政策不能連接到任何其他 IAM 實體。

如需關於支援服務連結角色的其他服務資訊，請參閱[《可搭配 IAM 運作的AWS 服務》](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

## 的服務連結角色許可 AWS Audit Manager
<a name="slr-permissions"></a>

Audit Manager 使用名為 的服務連結角色`AWSServiceRoleForAuditManager`，這可讓您存取使用或管理的 AWS 服務和資源 AWS Audit Manager。

`AWSServiceRoleForAuditManager` 服務連結角色信任 `auditmanager.amazonaws.com` 服務來擔任該角色。

角色許可政策 [https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerServiceRolePolicy.html](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerServiceRolePolicy.html)可讓 Audit Manager 收集有關您的 AWS 用量的自動化證據。具體而言，它可以代表您執行以下動作。
+ Audit Manager 可以使用 AWS Security Hub CSPM 來收集**合規檢查**證據。在此情況下，Audit Manager 會使用下列許可，直接從中報告安全檢查的結果 AWS Security Hub CSPM。然後，將結果附加到您的相關評估控制項中作為證據。
  + `securityhub:DescribeStandards`
**注意**  
如需 Audit Manager 可以描述哪些特定 Security Hub CSPM 控制項的詳細資訊，請參閱 [AWS Security Hub CSPM 支援的控制項 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-ash.html)。
+ Audit Manager 可以使用 AWS Config 來收集**合規檢查**證據。在此情況下，Audit Manager 會使用下列許可，直接從中報告 AWS Config 規則評估的結果 AWS Config。然後，將結果附加到您的相關評估控制項中作為證據。
  + `config:DescribeConfigRules` 
  + `config:DescribeDeliveryChannels`
  + `config:ListDiscoveredResources`
**注意**  
如需 Audit Manager 可以描述哪些特定 AWS Config 規則的詳細資訊，請參閱 [AWS Config 支援的規則 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-config.html)。
+ Audit Manager 可以使用 AWS CloudTrail 收集**使用者活動**證據。在此情況下，Audit Manager 會使用下列許可從 CloudTrail 日誌擷取使用者活動。然後，將活動附加到您的相關評估控制項中作為證據。
  + `cloudtrail:DescribeTrails`
  + `cloudtrail:LookupEvents`
**注意**  
如需 Audit Manager 可以描述哪些特定 CloudTrail 事件的詳細資訊，請參閱 [AWS CloudTrail 支援的事件名稱 AWS Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/control-data-sources-cloudtrail.html)。
+ Audit Manager 可以使用 AWS API 呼叫來收集**資源組態**證據。在此情況下，Audit Manager 會使用下列許可來呼叫描述下列 AWS 服務之資源組態的唯讀 API。然後，將 API 回應附加到您的相關評估控制項中作為證據。
  + `acm:GetAccountConfiguration`
  + `acm:ListCertificates`
  + `apigateway:GET`
  + `autoscaling:DescribeAutoScalingGroups`
  + `backup:ListBackupPlans`
  + `backup:ListRecoveryPointsByResource`
  + `bedrock:GetCustomModel`
  + `bedrock:GetFoundationModel`
  + `bedrock:GetModelCustomizationJob`
  + `bedrock:GetModelInvocationLoggingConfiguration`
  + `bedrock:ListCustomModels`
  + `bedrock:ListFoundationModels`
  + `bedrock:ListGuardrails`
  + `bedrock:ListModelCustomizationJobs`
  + `cloudfront:GetDistribution`
  + `cloudfront:GetDistributionConfig`
  + `cloudfront:ListDistributions`
  + `cloudtrail:DescribeTrails`
  + `cloudtrail:GetTrail`
  + `cloudtrail:ListTrails`
  + `cloudtrail:LookupEvents`
  + `cloudwatch:DescribeAlarms`
  + `cloudwatch:DescribeAlarmsForMetric`
  + `cloudwatch:GetMetricStatistics`
  + `cloudwatch:ListMetrics`
  + `cognito-idp:DescribeUserPool`
  + `config:DescribeConfigRules`
  + `config:DescribeDeliveryChannels`
  + `config:ListDiscoveredResources`
  + `directconnect:DescribeDirectConnectGateways`
  + `directconnect:DescribeVirtualGateways`
  + `dynamodb:DescribeBackup`
  + `dynamodb:DescribeContinuousBackups`
  + `dynamodb:DescribeTable`
  + `dynamodb:DescribeTableReplicaAutoScaling`
  + `dynamodb:ListBackups`
  + `dynamodb:ListGlobalTables`
  + `dynamodb:ListTables`
  + `ec2:DescribeAddresses`
  + `ec2:DescribeCustomerGateways`
  + `ec2:DescribeEgressOnlyInternetGateways`
  + `ec2:DescribeFlowLogs`
  + `ec2:DescribeInstanceCreditSpecifications`
  + `ec2:DescribeInstanceAttribute`
  + `ec2:DescribeInstances`
  + `ec2:DescribeInternetGateways`
  + `ec2:DescribeLocalGatewayRouteTableVirtualInterfaceGroupAssociations`
  + `ec2:DescribeLocalGateways`
  + `ec2:DescribeLocalGatewayVirtualInterfaces`
  + `ec2:DescribeNatGateways`
  + `ec2:DescribeNetworkAcls`
  + `ec2:DescribeRouteTables` 
  + `ec2:DescribeSecurityGroups`
  + `ec2:DescribeSecurityGroupRules`
  + `ec2:DescribeSnapshots`
  + `ec2:DescribeTransitGateways`
  + `ec2:DescribeVolumes`
  + `ec2:DescribeVpcEndpoints`
  + `ec2:DescribeVpcEndpointConnections`
  + `ec2:DescribeVpcEndpointServiceConfigurations`
  + `ec2:DescribeVpcPeeringConnections`
  + `ec2:DescribeVpcs`
  + `ec2:DescribeVpnConnections`
  + `ec2:DescribeVpnGateways`
  + `ec2:GetEbsDefaultKmsKeyId`
  + `ec2:GetEbsEncryptionByDefault`
  + `ec2:GetLaunchTemplateData`
  + `ecs:DescribeClusters`
  + `eks:DescribeAddonVersions`
  + `elasticache:DescribeCacheClusters`
  + `elasticache:DescribeServiceUpdates`
  + `elasticfilesystem:DescribeAccessPoints`
  + `elasticfilesystem:DescribeFileSystems`
  + `elasticloadbalancing:DescribeLoadBalancers`
  + `elasticloadbalancing:DescribeSslPolicies`
  + `elasticloadbalancing:DescribeTargetGroups`
  + `elasticmapreduce:ListClusters`
  + `elasticmapreduce:ListSecurityConfigurations`
  + `es:DescribeDomains`
  + `es:DescribeDomain`
  + `es:DescribeDomainConfig`
  + `es:ListDomainNames`
  + `events:DeleteRule`
  + `events:DescribeRule`
  + `events:DisableRule`
  + `events:EnableRule`
  + `events:ListConnections`
  + `events:ListEventBuses`
  + `events:ListEventSources`
  + `events:ListRules`
  + `events:ListTargetsByRule`
  + `events:PutRule`
  + `events:PutTargets`
  + `events:RemoveTargets`
  + `firehose:ListDeliveryStreams`
  + `fsx:DescribeFileSystems`
  + `guardduty:ListDetectors `
  + `iam:GenerateCredentialReport`
  + `iam:GetAccessKeyLastUsed`
  + `iam:GetAccountAuthorizationDetails `
  + `iam:GetAccountPasswordPolicy`
  + `iam:GetAccountSummary` 
  + `iam:GetCredentialReport`
  + `iam:GetGroupPolicy`
  + `iam:GetPolicy`
  + `iam:GetPolicyVersion`
  + `iam:GetRolePolicy`
  + `iam:GetUser`
  + `iam:GetUserPolicy`
  + `iam:ListAccessKeys`
  + `iam:ListAttachedGroupPolicies`
  + `iam:ListAttachedRolePolicies`
  + `iam:ListAttachedUserPolicies`
  + `iam:ListEntitiesForPolicy`
  + `iam:ListGroupPolicies`
  + `iam:ListGroups`
  + `iam:ListGroupsForUser`
  + `iam:ListMfaDeviceTags`
  + `iam:ListMfaDevices`
  + `iam:ListOpenIdConnectProviders`
  + `iam:ListPolicies`
  + `iam:ListPolicyVersions`
  + `iam:ListRolePolicies`
  + `iam:ListRoles`
  + `iam:ListSamlProviders`
  + `iam:ListUserPolicies`
  + `iam:ListUsers`
  + `iam:ListVirtualMFADevices`
  + `kafka:ListClusters`
  + `kafka:ListKafkaVersions`
  + `kinesis:ListStreams`
  + `kms:DescribeKey`
  + `kms:GetKeyPolicy`
  + `kms:GetKeyRotationStatus`
  + `kms:ListGrants`
  + `kms:ListKeyPolicies`
  + `kms:ListKeys`
  + `lambda:ListFunctions`
  + `license-manager:ListAssociationsForLicenseConfiguration` 
  +  `license-manager:ListLicenseConfigurations`
  + `license-manager:ListUsageForLicenseConfiguration`
  + `logs:DescribeDestinations`
  + `logs:DescribeExportTasks`
  + `logs:DescribeLogGroups`
  + `logs:DescribeMetricFilters`
  + `logs:DescribeResourcePolicies`
  + `logs:FilterLogEvents`
  + `logs:GetDataProtectionPolicy`
  + `organizations:DescribeOrganization`
  + `organizations:DescribePolicy` 
  + `rds:DescribeCertificates`
  + `rds:DescribeDBClusterEndpoints`
  + `rds:DescribeDBClusterParameterGroups`
  + `rds:DescribeDBClusters`
  + `rds:DescribeDBInstances`
  + `rds:DescribeDBInstanceAutomatedBackups`
  + `rds:DescribeDBSecurityGroups`
  + `redshift:DescribeClusters`
  + `redshift:DescribeClusterSnapshots`
  + `redshift:DescribeLoggingStatus`
  + `route53:GetQueryLoggingConfig` 
  + `s3:GetBucketAcl`
  + `s3:GetBucketLogging`
  + `s3:GetBucketOwnershipControls`
  + `s3:GetBucketPolicy`
    + 此 API 動作會在服務連結角色可用的 AWS 帳戶 之範圍內運作。它無法存取跨帳戶儲存貯體政策。
  + `s3:GetBucketPublicAccessBlock`
  + `s3:GetBucketTagging`
  + `s3:GetBucketVersioning`
  + `s3:GetEncryptionConfiguration`
  + `s3:GetLifecycleConfiguration` 
  + `s3:ListAllMyBuckets`
  + `sagemaker:DescribeAlgorithm`
  + `sagemaker:DescribeDomain`
  + `sagemaker:DescribeEndpoint`
  + `sagemaker:DescribeEndpointConfig`
  + `sagemaker:DescribeFlowDefinition`
  + `sagemaker:DescribeHumanTaskUi`
  + `sagemaker:DescribeLabelingJob`
  + `sagemaker:DescribeModel`
  + `sagemaker:DescribeModelBiasJobDefinition`
  + `sagemaker:DescribeModelCard`
  + `sagemaker:DescribeModelQualityJobDefinition`
  + `sagemaker:DescribeTrainingJob`
  + `sagemaker:DescribeUserProfile`
  + `sagemaker:ListAlgorithms`
  + `sagemaker:ListDomains`
  + `sagemaker:ListEndpointConfigs`
  + `sagemaker:ListEndpoints`
  + `sagemaker:ListFlowDefinitions`
  + `sagemaker:ListHumanTaskUis`
  + `sagemaker:ListLabelingJobs`
  + `sagemaker:ListModels`
  + `sagemaker:ListModelBiasJobDefinitions`
  + `sagemaker:ListModelCards`
  + `sagemaker:ListModelQualityJobDefinitions`
  + `sagemaker:ListMonitoringAlerts`
  + `sagemaker:ListMonitoringSchedules`
  + `sagemaker:ListTrainingJobs`
  + `sagemaker:ListUserProfiles`
  + `securityhub:DescribeStandards`
  + `secretsmanager:DescribeSecret`
  + `secretsmanager:ListSecrets`
  + `sns:ListTagsForResource`
  + `sns:ListTopics`
  + `sqs:ListQueues`
  + `waf-regional:GetLoggingConfiguration`
  + `waf-regional:GetRule`
  + `waf-regional:GetWebAcl`
  + `waf-regional:ListRuleGroups`
  + `waf-regional:ListRules`
  + `waf-regional:ListSubscribedRuleGroups`
  + `waf-regional:ListWebACLs`
  + `waf:GetRule`
  + `waf:GetRuleGroup`
  + `waf:ListActivatedRulesInRuleGroup`
  + `waf:ListRuleGroups`
  + `waf:ListRules`
  + `waf:ListWebAcls`
  + `wafv2:ListWebAcls`
**注意**  
 如需有關 Audit Manager 可以描述的特定 API 呼叫的詳細資訊，請參閱 [自訂控制項資料來源支援的 API 呼叫](control-data-sources-api.md#apis-for-custom-control-data-sources)。

如需檢視服務連結角色 `AWSServiceRoleForAuditManager` 完整許可的詳細資訊，請參閱 *AWS 受管政策參考指南*中的 [AWSAuditManagerServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSAuditManagerServiceRolePolicy.html)。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。

## 建立 AWS Audit Manager 服務連結角色
<a name="create-slr"></a>

您不需要手動建立服務連結角色，當您啟用 時 AWS Audit Manager，服務會自動為您建立服務連結角色。您可以從 的加入頁面 AWS 管理主控台或透過 API 或 啟用 Audit Manager AWS CLI。如需詳細資訊，請參閱本使用者指南中的 [啟用 AWS Audit Manager](setup-audit-manager.md)。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。

## 編輯 AWS Audit Manager 服務連結角色
<a name="edit-slr"></a>

AWS Audit Manager 不允許您編輯`AWSServiceRoleForAuditManager`服務連結角色。因為可能有各種實體會參考服務連結角色，所以您無法在建立角色之後變更其名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱 *IAM 使用者指南*中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。

**如需允許 IAM 實體編輯 `AWSServiceRoleForAuditManager` 服務連結角色的描述**  
將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策：

```
{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/auditmanager.amazonaws.com/AWSServiceRoleForAuditManager*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "auditmanager.amazonaws.com"}}
}
```

## 刪除 AWS Audit Manager 服務連結角色
<a name="delete-slr"></a>

如果您不再需要使用 Audit Manager，我們建議您刪除 `AWSServiceRoleForAuditManager` 服務連結角色。這樣就不會有未積極監控或維護的未使用實體。然而，務必清除服務連結角色，之後才能將其刪除。

**清除服務連結角色**  
您必須先確認 Audit Manager 服務連結角色沒有作用中的工作階段，並移除該角色使用的資源，之後才能使用 IAM 將其刪除。若要這樣做，請確保 Audit Manager 在所有 中取消註冊 AWS 區域。取消註冊後，Audit Manager 將不再使用服務連結角色。

如需有關如何取消註冊 Audit Manager 的說明，請參閱以下資源：
+ 本指南中的 [停用 AWS Audit Manager](disable.md)
+ *AWS Audit Manager API 參考*中的 [DeregisterAccount](https://docs.aws.amazon.com/audit-manager/latest/APIReference/API_DeregisterAccount.html)
+ *AWS CLI 的 參考 AWS Audit Manager*中的 [deregister-account](https://awscli.amazonaws.com/v2/documentation/api/latest/reference/auditmanager/deregister-account.html) 

如需有關如何手動刪除 Audit Manager 資源的說明，請參閱本指南中的[刪除 Audit Manager 資料](https://docs.aws.amazon.com/audit-manager/latest/userguide/data-protection.html#data-deletion-and-retention)。

**刪除 服務連結角色**  
您可以使用 IAM 主控台、 AWS Command Line Interface (AWS CLI) 或 IAM API 來刪除服務連結角色。

------
#### [ IAM console ]

請依照下列步驟，在 IAM 主控台中刪除服務連結角色：

**刪除服務連結角色 (主控台)**

1. 登入 AWS 管理主控台 並開啟位於 https：//[https://console.aws.amazon.com/iam/](https://console.aws.amazon.com/iam/) 的 IAM 主控台。

1. 在 IAM 主控台的導覽窗格中，選擇**角色**。選擇 `AWSServiceRoleForAuditManager` 旁的核取方塊，而非名稱或列本身。

1. 在頁面頂端的**角色動作**下選擇**刪除**。

1. 在確認對話方塊中，檢閱上次存取資訊，以顯示每個所選擇角色上次存取 AWS 服務的時間。這可協助您確認角色目前是否作用中。如果您想要繼續進行，在文字輸入欄位中輸入 **AWSServiceRoleForAuditManager**，然後選擇**刪除**來提交服務連結角色以進行刪除。

1. 查看 IAM 主控台通知，監視服務連結角色刪除的進度。因為 IAM 服務連結角色刪除不同步，所以在您提交角色進行刪除之後，刪除任務可能會成功或失敗。如果任務成功，則會從清單中移除角色，而且成功訊息會出現在頁面頂端。

------
#### [ AWS CLI ]

您可以從 使用 IAM 命令 AWS CLI 來刪除服務連結角色。

**刪除服務連結角色 (AWS CLI)**

1. 輸入以下命令來列出您帳戶中的角色：

   ```
   aws iam get-role --role-name AWSServiceRoleForAuditManager
   ```

1. 因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 `deletion-task-id`，以檢查刪除任務的狀態。

   輸入下列命令，以提交服務連結角色刪除要求：

   ```
   aws iam delete-service-linked-role --role-name AWSServiceRoleForAuditManager
   ```

1. 使用下列命令，以檢查刪除任務的狀態：

   ```
   aws iam get-service-linked-role-deletion-status --deletion-task-id deletion-task-id
   ```

   刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。

------
#### [ IAM API ]

您可以使用 IAM API 刪除服務連結角色。

**刪除服務連結角色 (API)**

1. 呼叫 [GetRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetRole.html) 列出您帳戶中的角色。在請求中，指定 `AWSServiceRoleForAuditManager` 為 `RoleName`。

1. 因為無法刪除正在使用或具有相關聯資源的服務連結角色，所以您必須提交刪除要求。如果不符合這些條件，則可以拒絕該請求。您必須從回應中擷取 `DeletionTaskId`，以檢查刪除任務的狀態。

   若要提交服務連結角色的刪除請求，請呼叫 [DeleteServiceLinkedRole](https://docs.aws.amazon.com/IAM/latest/APIReference/API_DeleteServiceLinkedRole.html)。在請求中，指定 `AWSServiceRoleForAuditManager` 為 `RoleName`。

1. 如需檢查刪除的狀態，請呼叫 [GetServiceLinkedRoleDeletionStatus](https://docs.aws.amazon.com/IAM/latest/APIReference/API_GetServiceLinkedRoleDeletionStatus.html)。在請求中，指定 `DeletionTaskId`。

   刪除任務的狀態可以是 `NOT_STARTED`、`IN_PROGRESS`、`SUCCEEDED` 或 `FAILED`。如果刪除失敗，則呼叫會傳回失敗原因，以進行疑難排解。

------

### 刪除 Audit Manager 服務連結角色的提示
<a name="delete-slr-tips"></a>

如果 Audit Manager 正在使用角色或具有關聯的資源，則 Audit Manager 服務連結角色的刪除程序可能會失敗。這可能會在下列案例中發生：

1. 您的帳戶仍在一或多個 中向 Audit Manager 註冊 AWS 區域。

1. 您的帳戶屬於 AWS 組織的一部分，而管理帳戶或委派管理員帳戶仍會加入 Audit Manager。

若要解決失敗的刪除問題，請先檢查您的 AWS 帳戶 是否為 組織的一部分。您可以透過呼叫 [DescribeOrganization](https://docs.aws.amazon.com/organizations/latest/APIReference/API_DescribeOrganization.html) API 操作或導覽至 AWS Organizations 主控台來執行此操作。

**如果您的 AWS 帳戶 是組織的一部分**

1. 使用您的管理帳戶，[在您新增管理員的所有 中移除 Audit Manager 中的委派管理員](https://docs.aws.amazon.com/audit-manager/latest/userguide/remove-delegated-admin.html)。 AWS 區域 

1. 在您使用服務的所有 AWS 區域 中，使用您的管理帳戶[取消註冊 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/disable.html)。

1. 請依照先前程序中的步驟，再次嘗試刪除服務連結角色。

**如果您的 AWS 帳戶 不是組織的一部分**

1. 請確定您在使用該服務的所有 AWS 區域 中[取消註冊 Audit Manager](https://docs.aws.amazon.com/audit-manager/latest/userguide/disable.html)。

1. 請依照先前程序中的步驟，再次嘗試刪除服務連結角色。

從 Audit Manager 取消註冊後，服務將停止使用服務連結角色。然後，您可以成功刪除角色。

## AWS Audit Manager 服務連結角色支援的 區域
<a name="slr-regions"></a>

AWS Audit Manager 支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊，請參閱 [AWS 服務端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。