AWS -- 如何判断使用服务相关角色的内容?

服务链接角色是由一个特定的 AWS 服务设计的。 在 IAM 服务的 AWS 管理控制台中，您可以单击角色并查看"摘要"。摘要包含一个如下所示的路径属性：/aws-service-role/access-analyzer.amazonaws.com/。

在此示例中，您可以看到使用此角色的服务称为访问分析器。

您可以在文档中获取有关该特定服务的服务相关角色的信息。[1]
导航到"安全性、身份和合规性服务"部分 ->搜索"IAM 访问分析器"行，然后单击表的"服务相关角色"列中的"是"链接。链接的文档通常会告诉您 AWS 设置此特定服务相关角色的原因以及它包含哪些权限。

有关服务相关角色的一般信息，请参阅 IAM 文档的"服务相关角色"[2] 和 IAM"故障排除"指南 [3]。

如果您想知道账户中上次使用特定服务相关角色的时间，请使用访问分析器[4]。

目前有 3 篇关于 AWS 官方博客 [5] 中服务关联角色主题的文章。其中两个可能与您的问题有关：

• 博客文章">通过使用 AWS CloudTrail 提高 AWS 服务代表您执行的操作的透明度" [6] 详细介绍了如何监控角色执行的操作。我想这也是@jellycsc的回答所建议的程序。

  摘自博客文章[6]：

  在这篇博文中，我将演示如何查看 CloudTrail 日志，以便您可以更轻松地监控和审计代表您执行操作的 AWS 服务。首先，我将展示当您配置支持服务相关角色的 AWS 服务时，AWS 如何在您的账户中自动创建服务相关角色。接下来，我将介绍如何查看服务相关角色的策略，该角色授予 AWS 服务代表您执行操作的权限。最后，我使用配置的 AWS 服务执行操作，并向您展示该操作在 CloudTrail 日志中的显示方式。

• 博客文章"当您不再需要 AWS 服务代表您执行操作时，现在使用 AWS IAM 删除服务相关角色" [7] 做出了以下陈述：

  删除服务相关角色后，链接服务不再具有代表您执行操作的权限。为了确保您的 AWS 服务在您删除服务相关角色时继续按预期运行，IAM 会验证您是否不再拥有需要服务相关角色才能正常运行的资源。这可以防止您无意中撤销 AWS 服务管理现有 AWS 资源所需的权限，并帮助您将资源保持在一致状态。如果您的账户中有任何资源需要服务相关角色，则当您尝试删除服务相关角色时，您将收到错误，并且服务相关角色将保留在您的账户中。如果您没有任何需要服务相关角色的资源，则可以删除服务相关角色，IAM 将从您的账户中删除服务相关角色。

引用

[1] https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html#admin_svcs[
2] https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role[
3] https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared
[4]https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_access-advisor.html?icmpid=docs_iam_console
[5] https://aws.amazon.com/de/blogs/security/tag/service-linked-roles/[
6] https://aws.amazon.com/de/blogs/security/get-greater-transparency-into-actions-aws-services-perform-on-your-behalf-by-using-aws-cloudtrail/
[7] https://aws.amazon.com/de/blogs/security/now-use-aws-iam-to-delete-a-service-linked-role-when-you-no-longer-require-an-aws-service-to-perform-actions-on-your-behalf/

使用 CloudTrail。这是文档。您可能想探索更多内容。