将服务相关角色用于 Trusted Advisor - Amazon Web Services Support
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅中国的 Amazon Web Services 服务入门

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 Trusted Advisor

Amazon Trusted Advisor使用Amazon Identity and Access Management(IAM)服务相关角色. 服务相关角色是直接链接到Amazon Trusted Advisor. 服务相关角色由Trusted Advisor,并包含服务调用其他Amazon代表您的服务。Trusted Advisor使用此角色检查您在Amazon并提供建议,以改进您的Amazon环境。例如,Trusted Advisor分析您的 Elastic Compute Cloud (Amazon EC2) 实例使用情况,以帮助您降低成本、提高性能、容忍故障并提高安全性。

注意

Amazon Web Services Support使用单独的 IAM 服务相关角色来访问账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅 将服务相关角色用于 Amazon Web Services Support

有关支持服务相关角色的其他服务的信息,请参阅Amazon使用 IAM 的服务. 寻找具有的服务中的服务相关角色column. 选择 Yes 与查看该服务的服务相关角色文档的链接。

Trusted Advisor 的服务相关角色权限

Trusted Advisor使用两个服务相关角色:

  • Amazon 服务受信任的指导— 此角色信任Trusted Advisor服务来代入要访问的角色Amazon代表您的服务。角色权限策略允许Trusted Advisor对所有的只读访问权限Amazon资源的费用。此角色可简化开始使用 Amazon 账户的过程,因为您不必为 Trusted Advisor 添加必要的权限。当您打开Amazon帐户,Trusted Advisor会为您创建此角色。定义的权限包括信任策略和权限策略。您无法将该权限策略附加到任何其他 IAM 实体。

  • AWSServiceRoleForTrustedAdvisorReporting— 此角色信任Trusted Advisor服务来代入组织视图功能的角色。此角色启用Trusted Advisor作为您的可信服务Amazon Organizations组织。Trusted Advisor将在您启用组织视图时为您创建此角色。使用此功能创建Trusted Advisor检查组织中所有帐户的结果。有关更多信息,请参阅 组织视图Amazon Trusted Advisor

管理服务相关角色的权限

您必须配置权限以允许 IAM 实体(例如,用户、组或角色)创建、编辑或删除服务相关角色。以下示例使用AWSServiceRoleForTrustedAdvisor服务相关角色。

例 :允许 IAM 实体创建AWSServiceRoleForTrustedAdvisor服务相关角色

此步骤仅在Trusted Advisor帐户被禁用时,服务相关角色将被删除,并且用户必须重新创建角色来重新启用Trusted Advisor.

您可以将以下语句添加到 IAM 实体的权限策略可创建服务相关角色。

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

例 :允许 IAM 实体编辑AWSServiceRoleForTrustedAdvisor服务相关角色

您只能编辑AWSServiceRoleForTrustedAdvisor角色。您可以将以下语句添加到 IAM 实体的权限策略可编辑服务相关角色的描述。

{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

例 :允许 IAM 实体删除AWSServiceRoleForTrustedAdvisor服务相关角色

您可以将以下语句添加到 IAM 实体的权限策略可删除服务相关角色。

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

您也可以使用 Amazon 托管策略(如 AdministratorAccess)来提供对 Trusted Advisor 的完全访问权限。

为 Trusted Advisor 创建服务相关角色

无需手动创建 AWSServiceRoleForTrustedAdvisor 服务相关角色。当您打开Amazon帐户,Trusted Advisor将为您创建服务相关角色。

重要

如果您在 Trusted Advisor 服务开始支持服务相关角色之前使用该服务,则 Trusted Advisor 会在您的账户中创建 AWSServiceRoleForTrustedAdvisor 角色。要了解更多信息,请参阅我的 IAM 账户中出现新角色中的IAM 用户指南.

如果您的帐户没有AWSServiceRoleForTrustedAdvisor服务相关角色,然后Trusted Advisor不会按预期运行。如果您的账户中有人将禁用,可能会出现上述Trusted Advisor,然后删除服务相关角色。在这种情况下,您可以使用 IAM 创建AWSServiceRoleForTrustedAdvisor服务相关角色,然后重新启用Trusted Advisor.

启用 Trusted Advisor(控制台)

  1. 使用 IAM 控制台Amazon CLI或 IAM API 来创建服务相关角色。Trusted Advisor. 有关更多信息,请参阅创建服务相关角色

  2. 登录到Amazon Web Services Management Console,然后导航到Trusted Advisor控制台位于https://console.amazonaws.cn/trustedadvisor.

    这些区域有:禁用 Trusted Advisor状态标语会显示在控制台中。

  3. 选择启用Trusted Advisor角色从状态横幅。如果需要AWSServiceRoleForTrustedAdvisor未检测到,则已禁用状态横幅仍将显示。

为 Trusted Advisor 编辑服务相关角色

您无法更改服务相关角色的名称,因为可能有多种实体引用该角色。但是,您可以使用 IAM 控制台、Amazon CLI或 IAM API 来编辑角色的说明。有关更多信息,请参阅 IAM 用户指南 中的编辑服务相关角色

删除 Trusted Advisor 的服务相关角色

如果您不需要使用的功能或服务Trusted Advisor中,您可以删除AWSServiceRoleForTrustedAdvisor角色。您必须禁用Trusted Advisor然后才能删除该服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。当您禁用 Trusted Advisor 时,将禁用所有服务功能,包括脱机处理和通知。此外,如果禁用Trusted Advisor对于会员账户,则单独的付款人账户也会受到影响,这意味着您将无法收到Trusted Advisor检查,确定节省成本的方法。您无法访问Trusted Advisor控制台。API 调用Trusted Advisor返回访问被拒绝错误。

您必须重新创建AWSServiceRoleForTrustedAdvisor服务相关角色之前,您可以重新启用Trusted Advisor.

您必须先禁用Trusted Advisor,然后才能删除AWSServiceRoleForTrustedAdvisor服务相关角色。

禁用Trusted Advisor

  1. 登录到Amazon Web Services Management Console并导航到Trusted Advisor控制台位于https://console.amazonaws.cn/trustedadvisor.

  2. 在导航窗格中,选择 Preferences

  3. 服务相关角色权限部分中,选择禁用 Trusted Advisor

  4. 在确认对话框中,选择确定以确认您要禁用Trusted Advisor.

禁用后Trusted Advisor, 所有Trusted Advisor功能处于禁用状态,Trusted Advisor控制台仅显示已禁用状态横幅。

然后,您可以使用 IAM 控制台、Amazon CLI,或者 IAM API 来删除Trusted Advisor名为的服务相关角色服务AWSServiceRoleForTrustedAdvisor. 有关更多信息,请参阅 IAM 用户指南 中的删除服务相关角色