使用服务相关角色实现自动化 - Amazon Compute Optimizer
Compute Optimizer 自动化的服务相关角色权限服务相关角色权限为 Compute Optimizer 自动化创建服务相关角色编辑 Compute Optimizer 自动化的服务相关角色删除 Compute Optimizer 自动化的服务相关角色Compute Optimizer 自动化服务相关角色支持的区域
Amazon Web Services 文档中描述的 Amazon Web Services 服务或功能可能因区域而异。要查看适用于中国区域的差异,请参阅 中国的 Amazon Web Services 服务入门 (PDF)

本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。

使用服务相关角色实现自动化

Amazon Compute Optimizer 使用名 AWSServiceRoleForComputeOptimizerAutomation为的 Amazon Identity and Access Management (IAM) 服务相关角色。服务相关角色是一种独特的 IAM 角色,直接关联到 Compute Optimizer Automizer Automizer Automation。服务相关角色由 Compute Optimizer Automatizer Automatizer 预定义,包括该服务代表你调用他人所需的所有权限。

对于服务相关角色,设置 Compute Optimizer Automizer Automizer 无需手动添加必要的权限。Compute Optimizer Automatizer Automatizer 定义了其服务相关角色的权限,除非另有定义,否则只有 Compute Optimizer Automatizer Automatizer 定义的权限包括信任策略和权限策略,而且权限策略不能附加到任何其他 IAM 实体。

有关支持服务相关角色的其它服务的信息,请参阅使用 IAM 的Amazon 服务并查找角色列中显示为的服务。选择和链接,查看该服务的服务相关角色文档。

Compute Optimizer 自动化的服务相关角色权限

Compute Optimizer Automatizer 使用命名的服务相关角色,AWSServiceRoleForComputeOptimizerAutomation该角色允许访问由 Compute Optimizer Automizer Automizer Automatizer 使用或管理的 Amazon 服务和资源。此服务相关角色允许 Compute Optimizer Automatizer Automatizer 通过 Amazon 其他服务执行创建、修改和删除资源等任务来实施优化建议。

AWSServiceRoleForComputeOptimizerAutomation 服务相关角色信任aco-automation.amazonaws.com服务来代替该角色。

AWSServiceRoleForComputeOptimizerAutomation 服务相关角色使用托管策略 AWSComputeOptimizerAutomationRolePolicy

服务相关角色权限

要为 Compute Optimizer Automizer Automatizer Automatizer 创建服务相关角色,请配置权限以允许 IAM 实体(例如用户、群组或角色)创建服务相关角色。有关更多信息,请参阅《IAM 用户指南》中的服务相关角色权限

将以下策略添加到需要创建服务相关角色的 IAM 实体中。

{
    "Version": "2012-10-17",                   
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
            "Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
        }
    ]
}

为 Compute Optimizer 自动化创建服务相关角色

当您启用 Compute Optimizer 自动化时, AWSServiceRoleForComputeOptimizerAutomation 服务相关角色会自动创建。您可以在 Amazon CLI 或 IAM API 中 AWSServiceRoleForComputeOptimizerAutomation 手动启用。

为 Compute Optimizer Automizer Automatizer Automatizer 管理账户创建的服务相关角色不适用于成员账户。启用该功能后,Compute Optimizer Automatizer Automatizer 会为每个账户创建一个单独的服务相关角色。当管理账户为成员账户启用自动化时,Compute Optimizer Automizer Automatizer Automatizer 会在首次为该账户实施推荐操作时按需创建服务相关角色。当管理账户或成员账户直接启动操作时,或者当自动化规则为该成员账户执行操作时,就会发生这种情况。

编辑 Compute Optimizer 自动化的服务相关角色

Compute Optimizer Automizer Automation 不允许你编辑 AWSServiceRoleForComputeOptimizerAutomation 服务相关角色。在创建服务相关角色后,您将无法更改角色的名称,因为可能有多种实体引用该角色。不过,您可以使用 IAM 编辑角色的说明。有关更多信息,请参阅《IAM 用户指南》中的编辑服务相关角色

删除 Compute Optimizer 自动化的服务相关角色

如果您不再需要使用某个需要服务相关角色的功能或服务,我们建议您删除该角色。这样您就没有未被主动监控或维护的未使用实体。

当你禁用 Compute Optimizer 自动化时,Compute Optimizer Automizer Automizer Automizer 不会自动 AWSServiceRoleForComputeOptimizerAutomation 为你删除服务相关角色。如果您再次启用 Compute Optimizer Automizer 自动化,则该服务可以重新开始使用现有的服务相关角色。如果您不再需要使用 Compute Optimizer Automizer 自动化,则可以手动删除服务相关角色。

重要

在删除 AWSServiceRoleForComputeOptimizerAutomation 服务相关角色之前,必须先禁用 Compute Optimizer 自动化。如果您在尝试删除服务相关角色时未禁用 Compute Optimizer Automizer 自动化,则删除操作将失败。

使用 IAM 控制台 Amazon CLI、或 Amazon API 删除 AWSServiceRoleForComputeOptimizerAutomation 服务相关角色。有关更多信息,请参见《IAM 用户指南》中的删除服务相关角色

Compute Optimizer 自动化服务相关角色支持的区域

Compute Optimizer Automizer Automatizer 支持在提供服务的所有区域中使用服务相关角色。要查看 Compute Optimizer 当前支持的终端节点 Amazon Web Services 区域 和终端节点,请参阅《一般参考》中的 Amazon Compute Optimizer 端点和配额。