本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用驗證存取的服務連結角色
<a name="using-service-linked-roles"></a>

AWS Verified Access 使用 IAM 服務連結角色，這是直接連結至 AWS 服務的 IAM 角色類型。Verified Access 的服務連結角色是由 Verified Access 定義，並包含服務 AWS 服務 代表您呼叫其他 所需的所有許可。

服務連結角色可讓您更輕鬆地設定 Verified Access，因為您不必手動新增必要的許可。Verified Access 會定義其服務連結角色的許可，除非另有定義，否則只有 Verified Access 才能擔任其角色。定義的許可包括信任政策和許可政策，且此許可政策無法連接到任何其他 IAM 實體。

## Verified Access 的服務連結角色許可
<a name="slr-permissions"></a>

Verified Access 使用名為 **AWSServiceRoleForVPCVerifiedAccess** 的服務連結角色，來佈建您帳戶中使用服務所需的資源。

**AWSServiceRoleForVPCVerifiedAccess** 服務連結角色信任下列服務擔任該角色：
+ `verified-access.amazonaws.com`

名為 **AWSVPCVerifiedAccessServiceRolePolicy** 的角色許可政策允許 Verified Access 對指定的資源完成下列動作：
+ 所有子網路和安全群組`ec2:CreateNetworkInterface`上的動作，以及具有 標籤的所有網路介面 `VerifiedAccessManaged=true`
+ 建立時所有網路介面`ec2:CreateTags`的動作
+ 具有 標籤之所有網路介面`ec2:DeleteNetworkInterface`的動作 `VerifiedAccessManaged=true`
+ 具有 標籤的所有安全群組和所有網路介面`ec2:ModifyNetworkInterfaceAttribute`的動作 `VerifiedAccessManaged=true`

您也可以在 *AWS 受管政策參考指南*中檢視此政策的許可；請參閱 [AWSVPCVerifiedAccessServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCVerifiedAccessServiceRolePolicy.html)。

您必須設定許可，IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。如需詳細資訊，請參閱 *IAM 使用者指南*中的[服務連結角色許可](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_create-service-linked-role.html#service-linked-role-permissions)。

## 為驗證存取建立服務連結角色
<a name="create-slr"></a>

您不需要手動建立一個服務連結角色。當您在 AWS 管理主控台、 AWS CLI或 API 中呼叫 **CreateVerifiedAccessEndpoint** 時 AWS ，Verified Access 會為您建立服務連結角色。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您再次呼叫 **CreateVerifiedAccessEndpoint** 時，Verified Access 會再次為您建立服務連結角色。

## 編輯已驗證存取的服務連結角色
<a name="edit-slr"></a>

Verified Access 不允許您編輯 **AWSServiceRoleForVPCVerifiedAccess** 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 刪除已驗證存取的服務連結角色
<a name="delete-slr"></a>

您不需要手動刪除 **AWSServiceRoleForVPCVerifiedAccess** 角色。當您在 AWS 管理主控台、 AWS CLI或 API 中呼叫 **DeleteVerifiedAccessEndpoint** 時 AWS ，Verified Access 會清除資源，並為您刪除服務連結角色。

**使用 IAM 手動刪除服務連結角色**

使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 **AWSServiceRoleForVPCVerifiedAccess** 服務連結角色。如需詳細資訊，請參閱《*IAM 使用者指南*》中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。

## Verified Access 服務連結角色的支援區域
<a name="slr-regions"></a>

Verified Access 支援在所有提供服務 AWS 區域 的 中使用服務連結角色。如需詳細資訊，請參閱[AWS 區域與端點](https://docs.aws.amazon.com/general/latest/gr/rande.html)。