AWS Support
用户指南 (API 版本 2013-04-15)
AWS 文档中描述的 AWS 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 Amazon AWS 入门

对 Trusted Advisor 使用服务相关角色

AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是直接链接到 Trusted Advisor 的独特 IAM 角色。服务相关角色由 Trusted Advisor 预定义,并具有该服务代表您调用其他 AWS 服务所需的一切权限。Trusted Advisor 使用此角色检查您在 AWS 上的使用情况并提供用于改善 AWS 环境的建议。例如,Trusted Advisor 通过分析您的 Amazon EC2 实例使用来帮助您降低成本、提高性能、增强容错,并提高安全性。

此角色可简化开始使用 AWS 账户的过程,因为您不必为 Trusted Advisor 添加必要的权限。Trusted Advisor 定义其服务相关角色的权限,并且仅 Trusted Advisor 可以代入此角色。定义的权限包括信任策略和权限策略。这些权限策略不能附加到任何其他 IAM 实体。

只有在禁用 Trusted Advisor 后,才能删除角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。当您禁用 Trusted Advisor 时,将禁用所有服务功能,包括脱机处理和通知。此外,如果为关联账户禁用 Trusted Advisor,则单独的付款人账户也会受到影响,会使一些节约成本的功能失效。​只有通过 IAM 在账户中安装 AWSServiceRoleForTrustedAdvisor 之后,才能重新启用 Trusted Advisor​。

注意

AWS Support 使用单独的 IAM 服务相关角色来访问账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅对 AWS Support 使用服务相关角色

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的 AWS 服务。查找在服务相关角色列中具有的服务。选择 Yes 与查看该服务的服务相关角色文档的链接。

Trusted Advisor 的服务相关角色权限

Trusted Advisor 使用名为 AWSServiceRoleForTrustedAdvisor 的服务相关角色,该角色允许 Trusted Advisor 代表您访问 AWS 服务。

AWSServiceRoleForTrustedAdvisor 服务相关角色信任以下服务代入该角色:

  • trustedadvisor.amazonaws.com

角色权限策略允许 Trusted Advisor 对指定资源完成以下操作:

  • 操作:all AWS resources 上的 Read-only access

您必须配置权限以允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。

允许 IAM 实体创建 AWSServiceRoleForTrustedAdvisor 服务相关角色

仅当 Trusted Advisor 账户被禁用、服务相关角色被删除并且用户必须重新创建角色来重新启用 Trusted Advisor 时,才需执行此操作。

将以下语句添加到需要创建服务相关角色的 IAM 实体的权限策略:

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

允许 IAM 实体编辑 AWSServiceRoleForTrustedAdvisor 服务相关角色的描述

由于此角色的性质,只有其说明可供编辑。

将以下语句添加到需要编辑服务相关角色的描述的 IAM 实体的权限策略:

{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

允许 IAM 实体删除 AWSServiceRoleForTrustedAdvisor 服务相关角色

将以下语句添加到需要删除服务相关角色的 IAM 实体的权限策略:

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

您也可以使用 AWS 托管策略(如 AdministratorAccess)来提供对 Trusted Advisor 的完全访问权限。

为 Trusted Advisor 创建服务相关角色

无需手动创建 AWSServiceRoleForTrustedAdvisor 服务相关角色。当您open an AWS account时,Trusted Advisor 将为您创建服务相关角色。

重要

如果您在 Trusted Advisor 服务开始支持服务相关角色之前使用该服务,则 Trusted Advisor 会在您的账户中创建 AWSServiceRoleForTrustedAdvisor 角色。要了解更多信息,请参阅我的 IAM 账户中出现新角色

如果您的账户没有 AWSServiceRoleForTrustedAdvisor 服务相关角色,Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务相关角色,可能会出现上述情况。在这种情况下,您可以使用 IAM 创建 AWSServiceRoleForTrustedAdvisor 服务相关角色,然后启用 Trusted Advisor。

启用 Trusted Advisor(控制台)

  1. 首先,使用 IAM 控制台、IAM CLI 或 IAM API 通过 Trusted Advisor 使用案例创建新的服务相关角色。有关更多信息,请参阅创建服务相关角色

  2. 登录 AWS 管理控制台,然后通过以下网址打开 Trusted Advisor 控制台:https://console.amazonaws.cn/trustedadvisor

    您的 Trusted Advisor 控制台体验将被 Trusted Advisor 已禁用状态横幅阻止。

  3. 从已禁用状态横幅中选择启用 Trusted Advisor 角色。成功后,将启用 Trusted Advisor 控制台体验。如果未检测到所需的 AWSServiceRoleForTrustedAdvisor,则已禁用状态横幅仍将显示。

编辑 Trusted Advisor 的服务相关角色

如果您的账户没有 Trusted Advisor 服务相关角色,Trusted Advisor 将不允许您编辑 AWSServiceRoleForTrustedAdvisor 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 控制台、IAM CLI 或 IAM API 编辑角色的描述。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 Trusted Advisor 的服务相关角色

如果您不需要使用 Trusted Advisor 的功能或服务,我们建议您删除 AWSServiceRoleForTrustedAdvisor 角色。禁用 Trusted Advisor 然后删除其服务相关角色,将为整个账户阻止所有 Trusted Advisor 功能。Trusted Advisor 控制台将被阻止,并将显示禁用状态。对 Trusted Advisor 的 API 调用将返回访问被拒绝错误。

您必须先在控制台中先禁用 Trusted Advisor,然后才能使用 IAM 删除 AWSServiceRoleForTrustedAdvisor 角色。

注意

当您禁用 Trusted Advisor 并删除其服务相关角色时,单独的相关付款人账户中的某些节省成本功能将会受到影响。)

清除服务相关角色

在使用 IAM 删除服务相关角色之前,必须先使用控制台禁用 Trusted Advisor。

禁用 Trusted Advisor(控制台)

  1. 登录 AWS 管理控制台,然后通过以下网址打开 Trusted Advisor 控制台:https://console.amazonaws.cn/trustedadvisor

  2. 在 Trusted Advisor 控制台的导航窗格中,选择首选项

  3. 服务相关角色权限部分中,选择禁用 Trusted Advisor

  4. 在确认对话框中,通过选择确定,确认您要禁用 Trusted Advisor。

成功完成后,所有 Trusted Advisor 功能都将被禁用,Trusted Advisor 控制台将只显示已禁用状态横幅。

然后,您可以使用 IAM 控制台、IAM CLI 或 IAM API 删除名为 AWSServiceRoleForTrustedAdvisor 的 Trusted Advisor 服务相关角色。有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色。