本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。
# 使用角色在 CloudTrail 中建立和管理 CloudTrail 組織線索和 CloudTrail Lake CloudTrail 組織事件資料存放區
AWS CloudTrail use AWS Identity and Access Management (IAM) [服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role)。服務連結角色是直接連結至 CloudTrail 的一種特殊 IAM 角色類型。服務連結角色由 CloudTrail 預先定義,並包含該服務代表您呼叫其他 AWS 服務所需的所有許可。
服務連結角色可讓設定 CloudTrail 更為簡單,因為您不必手動新增必要的許可。CloudTrail 定義其服務連結角色的許可,除非另有定義,否則僅有 許可 可以擔任其角色。定義的許可包括信任政策和許可政策,且該許可政策無法附加至其他 IAM 實體。
您必須先刪除服務連結角色的相關資源,才能將其刪除。這可保護您的 CloudTrail 資源,因為您不會不小心移除存取資源的許可。
如需有關支援服務連結角色的其他 服務的資訊,請參閱[AWS 使用 IAM 的服務](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html),並在**服務連結角色**欄中尋找具有**是**的服務。選擇具有連結的**是**,以檢視該服務的服務連結角色文件。
## CloudTrail 的服務連結角色許可
CloudTrail 使用名為 **AWSServiceRoleForCloudTrail** 的服務連結角色 – 此服務連結角色用於支援組織追蹤和組織事件資料存放區。
AWSServiceRoleForCloudTrail 服務連結角色信任下列服務擔任該角色:
+ `cloudtrail.amazonaws.com`
名為 CloudTrailServiceRolePolicy 的角色許可政策允許 CloudTrail 對指定的資源完成下列動作:
+ 所有 CloudTrail 資源上的動作:
+ `All`
+ 所有 AWS Organizations 資源的動作:
+ `organizations:DescribeAccount`
+ `organizations:DescribeOrganization`
+ `organizations:ListAccounts`
+ `organizations:ListAWSServiceAccessForOrganization`
+ CloudTrail 服務主體的所有 Organizations 資源上的動作,用於列出組織的委派管理員:
+ `organizations:ListDelegatedAdministrators`
+ 組織事件資料存放區上的[停用 Lake 聯合](query-disable-federation.md)動作:
+ `glue:DeleteTable`
+ `lakeformation:DeRegisterResource`
您必須設定許可,以允許您的使用者、群組或角色建立、編輯或刪除服務連結角色。如需詳細資訊,請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions)。
如需與 AWSServiceRoleForCloudTrail 相關聯之受管政策的詳細資訊,請參閱 [AWS 的 受管政策 AWS CloudTrail](security-iam-awsmanpol.md)。
## 建立 CloudTrail 的服務連結角色
您不需要手動建立服務連結角色,當您建立組織追蹤或組織事件資料存放區,或在 CloudTrail 主控台、、 AWS CLI或 AWS API AWS 管理主控台中新增委派管理員時,CloudTrail 會為您建立服務連結角色。
若您刪除此服務連結角色,之後需要再次建立,您可以在帳戶中使用相同程序重新建立角色。當您建立組織追蹤或組織事件資料存放區,或在 CloudTrail 主控台中新增委派管理員時,CloudTrail 會再次為您建立服務連結角色。
## 編輯 CloudTrail 的服務連結角色
CloudTrail 不允許您編輯 AWSServiceRoleForCloudTrail 服務連結角色。因為有各種實體可能會參考服務連結角色,所以您無法在建立角色之後變更角色名稱。然而,您可使用 IAM 來編輯角色描述。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[編輯服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 刪除 CloudTrail 的服務連結角色
您不需要手動刪除 AWSServiceRoleForCloudTrail 角色。如果從 Organizations 組織移除 AWS 帳戶 ,該AWSServiceRoleForCloudTrail角色會自動從該中移除 AWS 帳戶。您必須先從組織中移除帳戶,才能從組織管理帳戶的 AWSServiceRoleForCloudTrail 服務連結角色中斷連結或移除政策。
您也可以使用 IAM 主控台、 AWS CLI 或 AWS API 手動刪除服務連結角色。若要執行此操作,您必須先手動清除服務連結角色的資源,然後才能手動刪除它。
**注意**
若 CloudTrail 服務在您試圖刪除資源時正在使用該角色,刪除可能會失敗。若此情況發生,請等待數分鐘後並再次嘗試操作。
若要移除 AWSServiceRoleForCloudTrail 角色正在使用的資源,您可以執行下列其中一項:
+ AWS 帳戶 從 Organizations 中的組織移除 。
+ 更新追蹤,因此不再是組織追蹤。如需詳細資訊,請參閱[使用 CloudTrail 主控台更新線索](cloudtrail-update-a-trail-console.md)。
+ 更新事件資料存放區,使其不再作為組織事件資料存放區。如需詳細資訊,請參閱[使用主控台更新事件資料存放區](query-event-data-store-update.md)。
+ 刪除追蹤。如需詳細資訊,請參閱[使用 CloudTrail 主控台刪除線索](cloudtrail-delete-trails-console.md)。
+ 刪除事件資料存放區。如需詳細資訊,請參閱[使用主控台刪除事件資料存放區](query-event-data-store-delete.md)。
**使用 IAM 手動刪除服務連結角色**
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除AWSServiceRoleForCloudTrail服務連結角色。如需詳細資訊,請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。