将服务相关角色用于 Trusted Advisor - Amazon Web Services Support
Trusted Advisor 的服务相关角色权限管理服务相关角色的权限为 Trusted Advisor 创建服务相关角色为 Trusted Advisor 编辑服务相关角色删除 Trusted Advisor 的服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

将服务相关角色用于 Trusted Advisor

Amazon Trusted Advisor 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种与 Amazon Trusted Advisor 直接关联的独特 IAM 角色。服务相关角色由 Trusted Advisor 预定义,并具有该服务代表您调用其他 Amazon 服务所需的一切权限。Trusted Advisor 使用此角色检查您在 Amazon 上的使用情况并提供用于改善 Amazon 环境的建议。例如,Trusted Advisor 通过分析您的 Amazon Elastic Compute Cloud (Amazon EC2) 实例使用来帮助您降低成本、提高性能、增强容错能力,并提高安全性。

注意

Amazon Web Services Support 使用单独的 IAM 服务相关角色来访问账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅将服务相关角色用于 Amazon Web Services Support

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 Amazon 服务。查找在 Service-linked role(服务相关角色)列的值为 Yes(是)的服务。选择 Yes(是)与查看该服务的服务相关角色文档的链接。

Trusted Advisor 的服务相关角色权限

Trusted Advisor 使用两个服务相关角色:

  • AWSServiceRoleForTrustedAdvisor – 此角色信任 Trusted Advisor 服务来代入代表您访问 Amazon 服务的角色。角色权限策略允许 Trusted Advisor 对所有的 Amazon 资源的只读访问权限。此角色可简化开始使用 Amazon 账户的过程,因为您不必为 Trusted Advisor 添加必要的权限。在开设一个 Amazon 账户时,Trusted Advisor 会为您创建此角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。

    有关附加策略的更多信息,请参阅 AWSTrustedAdvisorServiceRolePolicy

  • AWSServiceRoleForTrustedAdvisorReporting – 此角色信任 Trusted Advisor 服务来担任组织视图功能的角色。此角色启用 Trusted Advisor 作为您的 Amazon Organizations 组织的可信服务。Trusted Advisor 将在您启用组织视图时为您创建此角色。

    有关附加策略的更多信息,请参阅 AWSTrustedAdvisorReportingServiceRolePolicy

    您可以使用组织视图为组织中的所有账户的 Trusted Advisor 检查结果创建报告。有关此功能的更多信息,请参阅Amazon Trusted Advisor 的组织视图

管理服务相关角色的权限

必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。以下示例使用 AWSServiceRoleForTrustedAdvisor 服务相关角色。

例 :允许 IAM 实体创建 AWSServiceRoleForTrustedAdvisor 服务相关角色

仅当 Trusted Advisor 账户被禁用、服务相关角色被删除并且用户必须重新创建角色来重新启用 Trusted Advisor 时,才需执行此步骤。

将以下语句添加到 IAM 实体的权限策略可创建服务相关角色。

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
例 :允许 IAM 实体编辑 AWSServiceRoleForTrustedAdvisor 服务相关角色的描述

您只能编辑 AWSServiceRoleForTrustedAdvisor 角色的描述。您可以将以下语句添加到 IAM 实体的权限策略来编辑服务相关角色的描述。

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
例 :允许 IAM 实体删除 AWSServiceRoleForTrustedAdvisor 服务相关角色

您可以将以下语句添加到 IAM 实体的权限策略来删除服务相关角色。

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

您也可以使用 Amazon 托管策略(如 AdministratorAccess)来提供对 Trusted Advisor 的完全访问权限。

为 Trusted Advisor 创建服务相关角色

无需手动创建 AWSServiceRoleForTrustedAdvisor 服务相关角色。开设 Amazon 账户时,Trusted Advisor 将为您创建服务相关角色。

重要

如果您在 Trusted Advisor 服务开始支持服务相关角色之前使用该服务,则 Trusted Advisor 会在您的账户中创建 AWSServiceRoleForTrustedAdvisor 角色。要了解更多信息,请参阅 IAM 用户指南中的我的 IAM 账户中出现新角色

如果您的账户没有 AWSServiceRoleForTrustedAdvisor 服务相关角色,Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务相关角色,可能会出现上述情况。在这种情况下,您可以使用 IAM 创建 AWSServiceRoleForTrustedAdvisor 服务相关角色,然后重新启用 Trusted Advisor。

启用 Trusted Advisor(控制台)

  1. 使用 IAM 控制台、Amazon CLI 或 IAM API 为 Trusted Advisor 创建服务相关角色。有关更多信息,请参阅创建服务相关角色

  2. 登录到 Amazon Web Services Management Console,然后导航到位于 https://console.amazonaws.cn/trustedadvisor 的 Trusted Advisor 控制台。

    禁用的 Trusted Advisor 状态横幅显示在控制台中。

  3. 从状态横幅中选择 Enable Trusted Advisor Role(启用 Trusted Advisor 角色)。如果未检测到所需的 AWSServiceRoleForTrustedAdvisor,则已禁用状态横幅仍将显示。

为 Trusted Advisor 编辑服务相关角色

由于多个实体可能引用该角色,因此无法更改服务相关角色的名称。不过,您可以使用 IAM 控制台、Amazon CLI 或 IAM API 编辑角色描述。有关更多信息,请参阅 IAM 用户指南中的编辑服务相关角色

删除 Trusted Advisor 的服务相关角色

如果您不需要使用 Trusted Advisor 的功能或服务,您可以删除 AWSServiceRoleForTrustedAdvisor 角色。您必须禁用 Trusted Advisor,然后才能删除此服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。当您禁用 Trusted Advisor 时,将禁用所有服务功能,包括脱机处理和通知。此外,如果为成员账户禁用 Trusted Advisor,则单独的付款人账户也会受到影响,这意味着您将不会收到确定成本节省方法的 Trusted Advisor 检查。您无法访问 Trusted Advisor 控制台。对 Trusted Advisor 的 API 调用将返回访问被拒绝错误。

您必须在 AWSServiceRoleForTrustedAdvisor 账户中重新创建服务相关角色,然后才能重新启用 Trusted Advisor。

在删除 AWSServiceRoleForTrustedAdvisor 服务相关角色之前,您必须先在控制台中禁用 Trusted Advisor。

要禁用 Trusted Advisor

  1. 登录到 Amazon Web Services Management Console 并导航到位于 https://console.amazonaws.cn/trustedadvisor 的 Trusted Advisor 控制台。

  2. 在导航窗格中,选择 Preferences

  3. 服务相关角色权限部分中,选择禁用 Trusted Advisor

  4. 在确认对话框中,通过选择 OK(确定)来确认您要禁用 Trusted Advisor。

禁用 Trusted Advisor 后,所有 Trusted Advisor 功能都将被禁用,Trusted Advisor 控制台将只显示已禁用状态横幅。

然后,您可以使用 IAM 控制台、Amazon CLI 或 IAM API 删除名为 AWSServiceRoleForTrustedAdvisor 的 Trusted Advisor 服务相关角色。有关更多信息,请参阅 IAM 用户指南中的删除服务相关角色