本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
# 将服务相关角色用于 Trusted Advisor
Amazon Trusted Advisor 使用 Amazon Identity and Access Management (IAM) [服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html)。服务相关角色是直接链接到 Amazon Trusted Advisor的唯一 IAM 角色。服务相关角色由预定义 Trusted Advisor,它们包括该服务代表您调用其他 Amazon 服务所需的所有权限。 Trusted Advisor 使用此角色来检查您的使用情况, Amazon 并提供改善 Amazon 环境的建议。例如, Trusted Advisor 分析您的亚马逊弹性计算云 (Amazon EC2) 实例的使用情况,以帮助您降低成本、提高性能、容忍故障和提高安全性。
**注意**
Amazon Web Services 支持 使用单独的 IAM 服务相关角色访问您账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅 [将服务相关角色用于 Amazon Web Services 支持](using-service-linked-roles-sup.md)。
有关支持服务关联角色的其他服务的信息,请参阅[与 IAM 配合使用的Amazon 服务](https://docs.amazonaws.cn/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html)。查找在 **Service-linked role**(服务关联角色)列的值为 **Yes**(是)的服务。请选择**是**与查看该服务的服务关联角色文档的链接。
**Topics**
+ [的服务相关角色权限 Trusted Advisor](#service-linked-role-permissions-ta)
+ [管理服务关联角色的权限](#manage-permissions-for-slr)
+ [为创建服务相关角色 Trusted Advisor](#create-service-linked-role-ta)
+ [编辑的服务相关角色 Trusted Advisor](#edit-service-linked-role-ta)
+ [删除的服务相关角色 Trusted Advisor](#delete-service-linked-role-ta)
## 的服务相关角色权限 Trusted Advisor
Trusted Advisor 使用两个与服务相关的角色:
+ [AWSServiceRoleForTrustedAdvisor](https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForTrustedAdvisor)— 此角色信任 Trusted Advisor 服务代替您访问 Amazon 服务的角色。角色权限策略允许对所有 Amazon 资源进行 Trusted Advisor 只读访问。此角色简化了 Amazon 账户的入门流程,因为您不必为添加必要的权限 Trusted Advisor。当您开设 Amazon 账户时, Trusted Advisor 会为您创建此角色。定义的权限包括信任策略和权限策略。不能将该权限策略附加到任何其他 IAM 实体。
有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorServiceRolePolicy)。
+ [https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting](https://console.amazonaws.cn/iam/home?#/roles/AWSServiceRoleForTrustedAdvisorReporting) – 此角色信任 Trusted Advisor 服务来担任组织视图功能的角色。此角色可 Trusted Advisor 作为 Amazon Organizations 组织中的可信服务启用。 Trusted Advisor 启用组织视图时会为您创建此角色。
有关附加策略的更多信息,请参阅 [AWSTrustedAdvisorReportingServiceRolePolicy](aws-managed-policies-for-trusted-advisor.md#security-iam-awsmanpol-AWSTrustedAdvisorReportingServiceRolePolicy)。
您可以使用组织视图为组织中的所有账户创建 Trusted Advisor 检查结果报告。有关此特征的更多信息,请参阅[的组织视图 Amazon Trusted Advisor](organizational-view.md)。
## 管理服务关联角色的权限
您必须配置权限,允许 IAM 实体(如用户、组或角色)创建、编辑或删除服务关联角色。以下示例使用 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。
**Example :允许 IAM 实体创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色**
只有在禁用 Trusted Advisor 帐户、删除服务相关角色并且用户必须重新创建角色才能重新启用时,才需要执行此步骤。 Trusted Advisor
将以下语句添加到 IAM 实体的权限策略可创建服务关联角色。
```
{
"Effect": "Allow",
"Action": [
"iam:CreateServiceLinkedRole",
"iam:PutRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :**允许 IAM 实体编辑 `AWSServiceRoleForTrustedAdvisor` 服务关联角色的描述****
您只能编辑 `AWSServiceRoleForTrustedAdvisor` 角色的描述。您可以将以下语句添加到 IAM 实体的权限策略来编辑服务关联角色的描述。
```
{
"Effect": "Allow",
"Action": [
"iam:UpdateRoleDescription"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
**Example :允许 IAM 实体删除 `AWSServiceRoleForTrustedAdvisor` 服务关联角色**
您可以将以下语句添加到 IAM 实体的权限策略来删除服务关联角色。
```
{
"Effect": "Allow",
"Action": [
"iam:DeleteServiceLinkedRole",
"iam:GetServiceLinkedRoleDeletionStatus"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
"Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
```
您也可以使用 Amazon 托管策略(例如 [AdministratorAccess](https://console.amazonaws.cn/iam/home#policies/arn:aws:iam::aws:policy/AdministratorAccess))来提供对的完全访问权限 Trusted Advisor。
## 为创建服务相关角色 Trusted Advisor
无需手动创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色。当您开设 Amazon 账户时, Trusted Advisor 会为您创建服务相关角色。
**重要**
如果您在服务开始支持 Trusted Advisor 服务相关角色之前使用该服务,则 Trusted Advisor 已经在您的账户中创建了该`AWSServiceRoleForTrustedAdvisor`角色。要了解更多信息,请参阅 *IAM 用户指南*中的[我的 IAM 账户中出现新角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared)。
如果您的账户没有 `AWSServiceRoleForTrustedAdvisor` 服务关联角色, Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务关联角色,可能会出现上述情况。在这种情况下,您可以使用 IAM 创建 `AWSServiceRoleForTrustedAdvisor` 服务关联角色,然后重新启用 Trusted Advisor。
**启用 Trusted Advisor (控制台)**
1. 使用 IAM 控制台或 IAM API 为创建服务相关角色。 Amazon CLI Trusted Advisor有关更多信息,请参阅[创建服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#create-service-linked-role)。
1. 登录 Amazon Web Services 管理控制台,然后导航到 Trusted Advisor 控制台,网址为[https://console.amazonaws.cn/trustedadvisor](https://console.amazonaws.cn/trustedadvisor)。
**禁用的 Trusted Advisor** 状态横幅显示在控制台中。
1. 从状态横幅中选择 “**启用 Trusted Advisor 角色**”。如果未检测到所需的 `AWSServiceRoleForTrustedAdvisor`,则已禁用状态横幅仍将显示。
## 编辑的服务相关角色 Trusted Advisor
由于多个实体可能引用该角色,因此无法更改服务关联角色的名称。但是,您可以使用 IAM 控制台或 IAM API 来编辑角色的描述。 Amazon CLI有关更多信息,请参阅《IAM 用户指南》**中的[编辑服务相关角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role)。
## 删除的服务相关角色 Trusted Advisor
如果您不需要使用的功能或服务 Trusted Advisor,则可以删除该`AWSServiceRoleForTrustedAdvisor`角色。必须 Trusted Advisor 先禁用此服务相关角色,然后才能删除此服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。禁用后 Trusted Advisor,即禁用所有服务功能,包括离线处理和通知。此外,如果您 Trusted Advisor 为成员账户禁用,则单独的付款人账户也会受到影响,这意味着您将不会收到确定节省成本的方法的 Trusted Advisor 支票。您无法访问 Trusted Advisor 控制台。API 调用 Trusted Advisor 返回拒绝访问错误。
您必须在 `AWSServiceRoleForTrustedAdvisor` 账户中重新创建服务关联角色,然后才能重新启用 Trusted Advisor。
必须先在控制台 Trusted Advisor 中禁用服务相关角色,然后才能删除`AWSServiceRoleForTrustedAdvisor`服务相关角色。
**要禁用 Trusted Advisor**
1. 登录 Amazon Web Services 管理控制台 并导航到 Trusted Advisor 控制台,网址为[https://console.amazonaws.cn/trustedadvisor](https://console.amazonaws.cn/trustedadvisor)。
1. 在导航窗格中,选择**首选项**。
1. 在**服务关联角色权限**部分中,选择**禁用 Trusted Advisor**。
1. 在确认对话框中,通过选择 **OK**(确定)来确认您要禁用 Trusted Advisor。
禁用后 Trusted Advisor,所有 Trusted Advisor 功能都将被禁用,并且 Trusted Advisor 控制台仅显示禁用状态横幅。
然后,您可以使用 IAM 控制台 Amazon CLI、或 IAM API 删除名`AWSServiceRoleForTrustedAdvisor`为的 Trusted Advisor 服务相关角色。有关更多信息,请参阅《IAM 用户指南》**中的[删除服务关联角色](https://docs.amazonaws.cn/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role)。