本文為英文版的機器翻譯版本，如內容有任何歧義或不一致之處，概以英文版為準。

# 使用站台對站台 VPN 服務連結角色
<a name="using-service-linked-roles"></a>

AWS Site-to-Site使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結至站台對站台 VPN 的一種特殊 IAM 角色類型。服務連結角色由 Site-to-Site VPN 預先定義，並包含服務代表您呼叫其他 AWS 服務所需的所有許可。

服務連結角色可讓設定站台對站台 VPN 更為簡單，因為您不必手動新增必要的許可。站台對站台 VPN 定義其服務連結角色的許可，除非另有定義，否則僅有站台對站台 VPN 可以擔任其角色。定義的許可包括信任政策和許可政策，且該許可政策無法附加至其他 IAM 實體。

您必須先刪除服務連結角色的相關資源，才能將其刪除。如此可保護您站台對站台 VPN 的資源，避免您不小心移除資源的存取許可。

## 站台對站台 VPN 服務連結角色許可
<a name="slr-permissions"></a>

站台對站台 VPN 會使用名為 **AWSServiceRoleForVPCS2SVPN** ─ 允許站台對站台 VPN 建立和管理與您的 VPN 連線相關的資源。

AWSServiceRoleForVPCS2SVPN 服務連結角色信任下列服務擔任該角色：
+ `s2svpn.amazonaws.com`

此服務連結角色使用 受管政策 AWSVPCS2SVpnServiceRolePolicy，對指定的資源完成下列動作：
+ 為您的 VPN 連線使用憑證驗證時， AWS Site-to-Site VPN 匯出 VPN 通道 AWS Certificate Manager 憑證以用於 VPN 通道端點。
+ 為您的 VPN 連線使用憑證驗證時， 會 AWS Site-to-Site VPN 管理 VPN 通道 AWS Certificate Manager 憑證的續約。
+ 將 SecretsManager 預先共用金鑰儲存用於 VPN 連線時， AWS Site-to-Site VPN 會管理 VPN 連線的 s2svpn AWS Secrets Manager 受管秘密。

若要檢視此政策的許可，請參閱《 *AWS 受管政策參考*》中的 [AWSVPCS2SVpnServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/AWSVPCS2SVpnServiceRolePolicy.html)。

## 為Site-to-Site VPN 建立服務連結角色
<a name="create-slr"></a>

您不需要手動建立服務連結角色，當您在 AWS 管理主控台、 AWS CLI或 AWS API 中使用相關聯的 ACM 私有憑證建立客戶閘道時，Site-to-Site VPN 會為您建立服務連結角色。

若您刪除此服務連結角色，之後需要再次建立，您可以在帳戶中使用相同程序重新建立角色。當您使用相關聯的 ACM 私有憑證建立客戶閘道時，站台對站台 VPN 會為您建立服務連結角色。

## 編輯Site-to-Site VPN 的服務連結角色
<a name="edit-slr"></a>

站台對站台 VPN 不允許您編輯 AWSServiceRoleForVPCS2SVPN 服務連結角色。因為有各種實體可能會參考服務連結角色，所以您無法在建立角色之後變更角色名稱。然而，您可使用 IAM 來編輯角色描述。如需詳細資訊，請參閱 *IAM 使用者指南*中的[編輯服務連結角色描述](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_update-service-linked-role.html#edit-service-linked-role-iam-console)。

## 刪除Site-to-Site VPN 的服務連結角色
<a name="delete-slr"></a>

若您不再使用需要服務連結角色的功能或服務，我們建議您刪除該角色。如此一來，您就沒有未主動監控或維護的未使用實體。然而，在手動刪除服務連結角色之前，您必須先清除資源。

**注意**  
若站台對站台 VPN 服務在您試圖刪除資源時正在使用該角色，刪除可能會失敗。若此情況發生，請等待數分鐘後並再次嘗試操作。

**刪除 AWSServiceRoleForVPCS2SVPN 所使用的站台對站台 VPN 資源**  
只有在刪除具有關聯 ACM 私有憑證的所有客戶閘道之後，才能刪除此服務連結角色。這可確保您不會意外移除存取站台對站台 VPN 連接所使用 ACM 憑證的許可。

**使用 IAM 手動刪除服務連結角色**  
使用 IAM 主控台 AWS CLI、 或 AWS API 來刪除 AWSServiceRoleForVPCS2SVPN 服務連結角色。如需詳細資訊，請參閱《IAM 使用者指南》**中的[刪除服務連結角色](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_manage_delete.html#id_roles_manage_delete_slr)。