本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 在 Aurora DSQL 中使用服務連結角色
<a name="working-with-service-linked-roles"></a>

 Aurora DSQL 使用 AWS Identity and Access Management (IAM) [ 服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles.html#id_roles_terms-and-concepts)。服務連結角色是直接連結至 Aurora DSQL 的一種特殊 IAM 角色類型。服務連結角色由 Aurora DSQL 預先定義，並包含服務 AWS 服務 代表 Aurora DSQL 叢集呼叫 所需的所有許可。

服務連結角色可簡化設定流程，因為您不必手動新增必要的許可權限以使用 Aurora DSQL。您建立叢集時，Aurora DSQL 會自動為您建立服務連結角色。只有在刪除所有叢集後，您才可以刪除服務連結角色。這樣您就不會不小心移除存取資源所需的許可權限，以保護您的 Aurora DSQL 資源。

如需關於支援服務連結角色的其他服務資訊，請參閱[可搭配 IAM 運作的AWS 服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)，尋找 **Service-Linked Role** (服務連結角色) 欄中顯示為 **Yes** (是) 的服務。選擇具有連結的**是**，以檢視該服務的服務連結角色文件。

服務連結角色可在所有支援的 Aurora DSQL 區域中使用。

## Aurora DSQL 的服務連結角色許可權限
<a name="working-with-service-linked-roles-permissions"></a>

Aurora DSQL 使用名為 的服務連結角色 `AWSServiceRoleForAuroraDsql` – 允許 Amazon Aurora DSQL 代表您建立和管理 AWS 資源。此服務連結角色連接至下列受管政策：[AuroraDsqlServiceLinkedRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AuroraDsqlServiceLinkedRolePolicy.html)。

**注意**  
您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。您可能會遇到下列錯誤訊息：`You don't have the permissions to create an Amazon Aurora DSQL service-linked role`。如果您看到此訊息，請確認您已啟用以下許可：  

****  

```
{
    "Version":"2012-10-17",		 	 	 
    "Statement": [
        {
            "Sid": "CreateDsqlServiceLinkedRole",
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "*",
            "Condition": {
                "StringEquals": {
                    "iam:AWSServiceName": "dsql.amazonaws.com"
                }
            }
        }
    ]
}
```
如需更多資訊，請參閱[服務連結角色許可權限](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions.html)。

## 建立服務連結角色
<a name="working-with-service-linked-roles-create"></a>

您不需要手動建立 AuroraDSQLServiceLinkedRolePolicy 服務連結角色。Aurora DSQL 會為您建立服務連結角色。如果已從您的帳戶刪除 AuroraDSQLServiceLinkedRolePolicy 服務連結角色，Aurora DSQL 會在您建立新的 Aurora DSQL 叢集時建立角色。

## 編輯服務連結角色
<a name="working-with-service-linked-roles-edit"></a>

 Aurora DSQL 不允許您編輯 AuroraDSQLServiceLinkedRolePolicy 服務連結角色。因為可能有各種實體會參考服務連結角色，所以您無法在建立角色之後變更其名稱。不過，您可以使用 IAM 主控台、 AWS Command Line Interface (AWS CLI) 或 IAM API 編輯角色的描述。

## 刪除服務連結角色
<a name="working-with-service-linked-roles-delete"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。

您必須先刪除帳戶中的任何叢集，才能刪除帳戶的服務連結角色。

您可以使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除服務連結角色。如需詳細資訊，請參閱《IAM 使用者指南》中的[建立服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#delete-service-linked-role)。

## Aurora DSQL 服務連結角色的支援區域
<a name="working-with-service-linked-role-regions"></a>

Aurora DSQL 支援在所有提供服務的區域中使用服務連結角色。如需詳細資訊，請參閱[AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。