Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.
Verwenden von serviceverknüpften Rollen für Trusted Advisor
AWS Trusted Advisor verwendet die dienstverknüpfte IAM Rolle AWS Identity and Access Management (). Eine dienstbezogene Rolle ist eine eindeutige IAM Rolle, die direkt mit verknüpft ist. AWS Trusted Advisor Dienstbezogene Rollen sind von vordefiniert und enthalten alle Berechtigungen Trusted Advisor, die der Dienst benötigt, um andere AWS Dienste in Ihrem Namen aufzurufen. Trusted Advisor verwendet diese Rolle, um Ihre Nutzung zu überprüfen AWS und Empfehlungen zur Verbesserung Ihrer AWS Umgebung abzugeben. Trusted Advisor Analysiert beispielsweise die Nutzung Ihrer Amazon Elastic Compute Cloud (AmazonEC2) -Instance, um Ihnen zu helfen, Kosten zu senken, die Leistung zu steigern, Ausfälle zu tolerieren und die Sicherheit zu verbessern.
Anmerkung
AWS Support verwendet eine separate IAM dienstbezogene Rolle für den Zugriff auf die Ressourcen Ihres Kontos, um Abrechnungs-, Verwaltungs- und Supportdienste bereitzustellen. Weitere Informationen finden Sie unter Verwenden von serviceverknüpften Rollen für AWS Support.
Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit funktionieren. IAM Suchen Sie nach den Services, für die Yes (Ja) in der Spalte Serviceverknüpfte Rolle angegeben ist. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.
Themen
Berechtigungen von serviceverknüpften Rollen für Trusted Advisor
Trusted Advisor verwendet zwei dienstverknüpfte Rollen:
-
AWSServiceRoleForTrustedAdvisor
— Diese Rolle vertraut darauf, dass der Trusted Advisor Dienst die Rolle übernimmt, in Ihrem Namen auf AWS Dienste zuzugreifen. Die Richtlinie für Rollenberechtigungen ermöglicht den Trusted Advisor schreibgeschützten Zugriff für alle Ressourcen. AWS Diese Rolle vereinfacht die ersten Schritte mit Ihrem AWS Konto, da Sie nicht die erforderlichen Berechtigungen für hinzufügen müssen. Trusted Advisor Wenn Sie ein AWS Konto eröffnen, Trusted Advisor erstellt diese Rolle für Sie. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Sie können die Berechtigungsrichtlinie keiner anderen IAM Entität zuordnen. Weitere Informationen zur angehängten Richtlinie finden Sie unter AWSTrustedAdvisorServiceRolePolicy.
-
AWSServiceRoleForTrustedAdvisorReporting
– Diese Rolle vertraut dem Trusted Advisor Dienst, die Rolle für das Feature „Organisationsansicht“ zu übernehmen. Diese Rolle wird Trusted Advisor als vertrauenswürdiger Dienst in Ihrer AWS Organizations Organisation aktiviert. Trusted Advisor erstellt diese Rolle für Sie, wenn Sie die Organisationsansicht aktivieren. Weitere Informationen zu der beigefügten Richtlinie finden Sie unter AWSTrustedAdvisorReportingServiceRolePolicy.
Sie können die Organisationsansicht verwenden, um Berichte mit Trusted Advisor Prüfergebnissen für alle Konten in Ihrer Organisation zu erstellen. Weitere Informationen über dieses Feature finden Sie unter Organisationsansicht für AWS Trusted Advisor.
Verwalten von Berechtigungen für dienstverknüpft Rollen
Sie müssen Berechtigungen konfigurieren, damit eine IAM Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) eine dienstbezogene Rolle erstellen, bearbeiten oder löschen kann. Die folgenden Beispiele verwenden die AWSServiceRoleForTrustedAdvisor dienstverknüpft Rolle.
Beispiel : Erlaubt einer IAM Entität, die AWSServiceRoleForTrustedAdvisor dienstverknüpfte Rolle zu erstellen
Dieser Schritt ist nur erforderlich, wenn das Trusted Advisor Konto deaktiviert ist, die dienstverknüpfte Rolle gelöscht wurde und der Benutzer die Rolle neu erstellen muss, um sie erneut zu aktivieren. Trusted Advisor
Sie können der Berechtigungsrichtlinie für die IAM Entität die folgende Anweisung hinzufügen, um die dienstverknüpfte Rolle zu erstellen.
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Beispiel : Erlaubt einer IAM Entität, die Beschreibung der AWSServiceRoleForTrustedAdvisor dienstbezogenen Rolle zu bearbeiten
Sie können nur die Beschreibung der AWSServiceRoleForTrustedAdvisor Rolle bearbeiten. Sie können der Berechtigungsrichtlinie für die IAM Entität die folgende Anweisung hinzufügen, um die Beschreibung einer dienstbezogenen Rolle zu bearbeiten.
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Beispiel : Erlaubt einer IAM Entität, die AWSServiceRoleForTrustedAdvisor dienstverknüpfte Rolle zu löschen
Sie können der Berechtigungsrichtlinie für die IAM Entität die folgende Anweisung hinzufügen, um eine dienstverknüpfte Rolle zu löschen.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Sie können auch eine AWS verwaltete Richtlinie verwenden, um z. AdministratorAccess
Erstellen einer serviceverknüpften Rolle für Trusted Advisor
Sie müssen die serviceverknüpfte Rolle AWSServiceRoleForTrustedAdvisor nicht manuell erstellen. Wenn Sie ein AWS Konto eröffnen, Trusted Advisor wird die dienstbezogene Rolle für Sie erstellt.
Wichtig
Wenn Sie den Trusted Advisor Dienst genutzt haben, bevor er mit der Unterstützung von dienstbezogenen Rollen begann, dann Trusted Advisor haben Sie die AWSServiceRoleForTrustedAdvisor Rolle bereits in Ihrem Konto erstellt. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Eine neue Rolle wurde in meinem IAM Konto angezeigt.
Wenn Ihr Konto nicht über die serviceverknüpfte Rolle AWSServiceRoleForTrustedAdvisor verfügt, funktioniert Trusted Advisor nicht wie erwartet. Dies kann passieren, wenn ein Benutzer Trusted Advisor in Ihrem Konto deaktiviert und die serviceverknüpfte Rolle löscht. In diesem Fall können Sie IAM die AWSServiceRoleForTrustedAdvisor serviceverknüpfte Rolle erstellen und dann erneut Trusted Advisor aktivieren.
Um Trusted Advisor (Konsole) zu aktivieren
-
Verwenden Sie die IAM Konsole, oder die AWS CLI, IAM API um eine serviceverknüpfte Rolle für Trusted Advisor zu erstellen. Weitere Informationen finden Sie unter Erstellen einer serviceverknüpften Rolle.
-
Melden Sie sich bei der an AWS Management Console, und navigieren Sie dann zur Trusted Advisor Konsole unterhttps://console.aws.amazon.com/trustedadvisor
. Der Trusted Advisor deaktiviert-Statusbanner wird in der Konsole angezeigt.
-
Wählen Sie im Statusbanner die Option Trusted Advisor Rolle aktivieren aus. Wenn die erforderliche
AWSServiceRoleForTrustedAdvisornicht erkannt wird, bleibt der Statusbanner "Disabled (Deaktiviert)" bestehen.
Bearbeiten einer serviceverknüpften Rolle für Trusted Advisor
Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung nicht geändert werden. Sie können jedoch die IAM Konsole oder die verwenden AWS CLI, IAM API um die Beschreibung der Rolle zu bearbeiten. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Bearbeiten einer dienstbezogenen Rolle.
Löschen einer serviceverknüpften Rolle für Trusted Advisor
Wenn Sie die Funktionen oder Dienste von nicht verwenden müssen Trusted Advisor, können Sie die AWSServiceRoleForTrustedAdvisor Rolle löschen. Sie müssen Trusted Advisor sie deaktivieren, bevor Sie diese dienstverknüpfte Rolle löschen können. Dadurch wird verhindert, dass Sie die erforderlichen Berechtigungen für Trusted Advisor -Operationen entfernen. Wenn Sie sie deaktivieren Trusted Advisor, deaktivieren Sie alle Servicefunktionen, einschließlich Offline-Verarbeitung und Benachrichtigungen. Wenn Sie die Deaktivierung Trusted Advisor für ein Mitgliedskonto vornehmen, wirkt sich dies auch auf das separate Konto des Zahlers aus. Das bedeutet, dass Sie keine Trusted Advisor Schecks erhalten, die Aufschluss darüber geben, wie Sie Kosten sparen können. Sie können über die Konsole auf Trusted Advisor
zugreifen. APIruft auf, um die Fehlermeldung „Zugriff verweigert“ Trusted Advisor zurückzugeben.
Sie müssen dieAWSServiceRoleForTrustedAdvisorDie -serviceverknüpfte Rolle im -Konto verwenden, bevor Sie die Trusted Advisor aus.
Sie müssen die AWSServiceRoleForTrustedAdvisor dienstbezogene Rolle zuerst Trusted Advisor in der Konsole deaktivieren, bevor Sie sie löschen können.
Um zu deaktivieren Trusted Advisor
-
Melden Sie sich bei der an AWS Management Console und navigieren Sie zur Trusted Advisor Konsole unterhttps://console.aws.amazon.com/trustedadvisor
. -
Klicken Sie im Navigationsbereich auf Präferenzen.
-
Wählen Sie im Abschnitt Service Linked Role Permissions (Berechtigungen der serviceverknüpften Rolle) die Option Disable Trusted Advisor(&SERVICENAME; deaktivieren) aus.
-
Bestätigen Sie im Bestätigungsdialogfeld, dass Sie deaktivieren möchten, indem Sie OK Trusted Advisor auswählen.
Nach der Deaktivierung Trusted Advisor sind alle Trusted Advisor Funktionen deaktiviert und auf der Trusted Advisor Konsole wird nur das deaktivierte Statusbanner angezeigt.
Anschließend können Sie die IAM Konsole, die oder die verwenden, IAM API um die AWS CLI mit dem Trusted Advisor Dienst verknüpfte Rolle mit dem Namen AWSServiceRoleForTrustedAdvisor zu löschen. Weitere Informationen finden Sie im IAMBenutzerhandbuch unter Löschen einer dienstbezogenen Rolle.
