将服务相关角色用于 Trusted Advisor - Amazon Web Services Support
Trusted Advisor的服务相关角色权限管理服务相关角色的权限为 Trusted Advisor创建服务相关角色为 Trusted Advisor编辑服务相关角色删除 Trusted Advisor的服务相关角色
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

将服务相关角色用于 Trusted Advisor

Amazon Trusted Advisor 使用 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是直接链接到 Amazon Trusted Advisor的唯一 IAM 角色。服务相关角色由预定义 Trusted Advisor,它们包括该服务代表您调用其他 Amazon 服务所需的所有权限。 Trusted Advisor 使用此角色来检查您的使用情况, Amazon 并提供改善 Amazon 环境的建议。例如, Trusted Advisor 分析您的亚马逊弹性计算云 (Amazon EC2) 实例的使用情况,以帮助您降低成本、提高性能、容忍故障和提高安全性。

注意

Amazon Web Services Support 使用单独的 IAM 服务相关角色访问您账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅 将服务相关角色用于 Amazon Web Services Support

有关支持服务相关角色的其他服务的信息,请参阅与 IAM 配合使用的Amazon 服务。查找在 Service-linked role(服务相关角色)列的值为 Yes(是)的服务。请选择与查看该服务的服务相关角色文档的链接。

Trusted Advisor的服务相关角色权限

Trusted Advisor 使用两个与服务相关的角色:

  • AWSServiceRoleForTrustedAdvisor— 此角色信任 Trusted Advisor 服务代替您访问 Amazon 服务的角色。角色权限策略允许对所有 Amazon 资源进行 Trusted Advisor 只读访问。此角色简化了 Amazon 账户的入门流程,因为您不必为添加必要的权限 Trusted Advisor。当您开设 Amazon 账户时, Trusted Advisor 会为您创建此角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。

    有关附加策略的更多信息,请参阅 AWSTrustedAdvisorServiceRolePolicy

  • AWSServiceRoleForTrustedAdvisorReporting – 此角色信任 Trusted Advisor 服务来担任组织视图功能的角色。此角色可 Trusted Advisor 作为 Amazon Organizations 组织中的可信服务启用。 Trusted Advisor 启用组织视图时会为您创建此角色。

    有关附加策略的更多信息,请参阅 AWSTrustedAdvisorReportingServiceRolePolicy

    您可以使用组织视图为组织中的所有账户创建 Trusted Advisor 检查结果报告。有关此特征的更多信息,请参阅 Amazon Trusted Advisor 的组织视图

管理服务相关角色的权限

您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务相关角色。以下示例使用 AWSServiceRoleForTrustedAdvisor 服务相关角色。

例 :允许 IAM 实体创建 AWSServiceRoleForTrustedAdvisor 服务相关角色

只有在禁用 Trusted Advisor 帐户、删除服务相关角色并且用户必须重新创建角色才能重新启用时,才需要执行此步骤。 Trusted Advisor

将以下语句添加到 IAM 实体的权限策略可创建服务相关角色。

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
例 :允许 IAM 实体编辑 AWSServiceRoleForTrustedAdvisor 服务相关角色的描述

您只能编辑 AWSServiceRoleForTrustedAdvisor 角色的描述。您可以将以下语句添加到 IAM 实体的权限策略来编辑服务相关角色的描述。

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
例 :允许 IAM 实体删除 AWSServiceRoleForTrustedAdvisor 服务相关角色

您可以将以下语句添加到 IAM 实体的权限策略来删除服务相关角色。

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

您也可以使用 Amazon 托管策略(例如 AdministratorAccess)来提供对的完全访问权限 Trusted Advisor。

为 Trusted Advisor创建服务相关角色

无需手动创建 AWSServiceRoleForTrustedAdvisor 服务相关角色。当您开设 Amazon 账户时, Trusted Advisor 会为您创建服务相关角色。

重要

如果您在服务开始支持 Trusted Advisor 服务相关角色之前使用该服务,则 Trusted Advisor 已经在您的账户中创建了该AWSServiceRoleForTrustedAdvisor角色。要了解更多信息,请参阅 IAM 用户指南中的我的 IAM 账户中出现新角色

如果您的账户没有 AWSServiceRoleForTrustedAdvisor 服务相关角色, Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务相关角色,可能会出现上述情况。在这种情况下,您可以使用 IAM 创建 AWSServiceRoleForTrustedAdvisor 服务相关角色,然后重新启用 Trusted Advisor。

启用 Trusted Advisor (控制台)

  1. 使用 IAM 控制台或 IAM API 为创建服务相关角色。 Amazon CLI Trusted Advisor有关更多信息,请参阅创建服务相关角色

  2. 登录 Amazon Web Services Management Console,然后导航到 Trusted Advisor 控制台,网址为https://console.amazonaws.cn/trustedadvisor

    禁用的 Trusted Advisor 状态横幅显示在控制台中。

  3. 从状态横幅中选择 “启用 Trusted Advisor 角色”。如果未检测到所需的 AWSServiceRoleForTrustedAdvisor,则已禁用状态横幅仍将显示。

为 Trusted Advisor编辑服务相关角色

由于多个实体可能引用该角色,因此无法更改服务相关角色的名称。但是,您可以使用 IAM 控制台或 IAM API 来编辑角色的描述。 Amazon CLI有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Trusted Advisor的服务相关角色

如果您不需要使用的功能或服务 Trusted Advisor,则可以删除该AWSServiceRoleForTrustedAdvisor角色。必须 Trusted Advisor 先禁用此服务相关角色,然后才能删除此服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。禁用后 Trusted Advisor,即禁用所有服务功能,包括离线处理和通知。此外,如果您 Trusted Advisor 为成员账户禁用,则单独的付款人账户也会受到影响,这意味着您将不会收到确定节省成本的方法的 Trusted Advisor 支票。您无法访问 Trusted Advisor 控制台。API 调用 Trusted Advisor 返回拒绝访问错误。

您必须在 AWSServiceRoleForTrustedAdvisor 账户中重新创建服务相关角色,然后才能重新启用 Trusted Advisor。

必须先在控制台 Trusted Advisor 中禁用服务相关角色,然后才能删除AWSServiceRoleForTrustedAdvisor服务相关角色。

要禁用 Trusted Advisor

  1. 登录 Amazon Web Services Management Console 并导航到 Trusted Advisor 控制台,网址为https://console.amazonaws.cn/trustedadvisor

  2. 在导航窗格中,选择首选项

  3. 服务相关角色权限部分中,选择禁用 Trusted Advisor

  4. 在确认对话框中,通过选择 OK(确定)来确认您要禁用 Trusted Advisor。

禁用后 Trusted Advisor,所有 Trusted Advisor 功能都将被禁用,并且 Trusted Advisor 控制台仅显示禁用状态横幅。

然后,您可以使用 IAM 控制台 Amazon CLI、或 IAM API 删除名AWSServiceRoleForTrustedAdvisor为的 Trusted Advisor 服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的删除服务相关角色