Uso de roles vinculados a servicios de Trusted Advisor - AWS Support

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios de Trusted Advisor

AWS Trusted Advisor usa el rol vinculado al servicio AWS Identity and Access Management (IAM). Un rol vinculado a un servicio es un IAM rol único al que se vincula directamente. AWS Trusted Advisor Los roles vinculados al servicio están predefinidos Trusted Advisor e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre. Trusted Advisor utiliza esta función para comprobar su uso AWS y ofrecer recomendaciones para mejorar su AWS entorno. Por ejemplo, Trusted Advisor analiza el uso de sus instancias de Amazon Elastic Compute Cloud (AmazonEC2) para ayudarlo a reducir los costos, aumentar el rendimiento, tolerar los fallos y mejorar la seguridad.

nota

AWS Support utiliza un rol independiente IAM vinculado al servicio para acceder a los recursos de tu cuenta y prestar servicios de facturación, administrativos y de soporte. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS Support.

Para obtener información sobre otros servicios que admiten funciones vinculadas al servicio, consulta los AWS servicios que funcionan con. IAM Busque los servicios para los que se indique en la columna Roles vinculados a servicios. Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de Trusted Advisor

Trusted Advisor usa dos funciones vinculadas a un servicio:

  • AWSServiceRoleForTrustedAdvisor— Esta función confía en que el Trusted Advisor servicio asuma la función de acceder a AWS los servicios en su nombre. La política de permisos del rol permite el acceso Trusted Advisor de solo lectura a todos AWS los recursos. Esta función simplifica la tarea de empezar a utilizar tu AWS cuenta, ya que no tienes que añadir los permisos necesarios. Trusted Advisor Cuando abres una AWS cuenta, Trusted Advisor crea este rol para ti. Los permisos definidos incluyen la política de confianza y la política de permisos. No puedes adjuntar la política de permisos a ninguna otra IAM entidad.

    Para obtener más información sobre la política adjunta, consulte AWSTrustedAdvisorServiceRolePolicy.

  • AWSServiceRoleForTrustedAdvisorReporting: este rol confía en el servicio de Trusted Advisor para asumir el rol de la característica de vista organizativa. Esta función se habilita Trusted Advisor como un servicio de confianza en su AWS Organizations organización. Trusted Advisor crea este rol para usted cuando habilita la vista organizacional.

    Para obtener más información sobre la política adjunta, consulte AWSTrustedAdvisorReportingServiceRolePolicy.

    Puede utilizar la vista organizativa para crear informes y Trusted Advisor comprobar los resultados de todas las cuentas de la organización. Para obtener más información acerca de esta característica, consulte Vista organizativa para AWS Trusted Advisor.

Administración de permisos de roles vinculados a servicios

Debe configurar los permisos para permitir que una IAM entidad (como un usuario, un grupo o un rol) cree, edite o elimine un rol vinculado a un servicio. En los siguientes ejemplos, se utiliza el rol vinculado a servicio de AWSServiceRoleForTrustedAdvisor.

ejemplo : Permita que una IAM entidad cree el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor

Este paso solo es necesario si la Trusted Advisor cuenta está deshabilitada, se elimina el rol vinculado al servicio y el usuario debe volver a crear el rol para volver a habilitarlo. Trusted Advisor

Puede añadir la siguiente declaración a la política de permisos de la IAM entidad para crear el rol vinculado al servicio.

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
ejemplo : Permita que una IAM entidad edite la descripción del rol vinculado al servicio AWSServiceRoleForTrustedAdvisor

Solo puede editar la descripción para el rol de AWSServiceRoleForTrustedAdvisor. Puede añadir la siguiente declaración a la política de permisos de la IAM entidad para editar la descripción de un rol vinculado al servicio.

{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
ejemplo : Permitir que una IAM entidad elimine el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor

Puede añadir la siguiente declaración a la política de permisos para que la IAM entidad elimine un rol vinculado al servicio.

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

También puede usar una política AWS administrada, por ejemplo AdministratorAccess, para proporcionar acceso total a. Trusted Advisor

Creación de un rol vinculado a un servicio de Trusted Advisor

No necesita crear manualmente el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor. Al abrir una AWS cuenta, Trusted Advisor crea automáticamente el rol vinculado al servicio.

importante

Si utilizabas el Trusted Advisor servicio antes de que comenzara a admitir roles vinculados al servicio, entonces Trusted Advisor ya creaste el AWSServiceRoleForTrustedAdvisor rol en tu cuenta. Para obtener más información, consulta la sección Apareció un nuevo rol en mi IAM cuenta en la Guía del IAMusuario.

Si su cuenta no tiene el rol vinculado a servicio AWSServiceRoleForTrustedAdvisor, Trusted Advisor no funcionará según lo previsto. Esto podría ocurrir si alguien desactivara Trusted Advisor en su cuenta y, a continuación, eliminara el rol vinculado al servicio. En este caso, puede utilizarlo IAM para crear el rol AWSServiceRoleForTrustedAdvisor vinculado al servicio y, a continuación, volver a activarlo. Trusted Advisor

Para habilitar Trusted Advisor (consola)
  1. Utilice la IAM consola o AWS CLI la IAM API para crear un rol vinculado a un servicio. Trusted Advisor Para obtener más información, consulte Crear un rol vinculado al servicio.

  2. Inicie sesión en y AWS Management Console, a continuación, navegue hasta la Trusted Advisor consola en. https://console.aws.amazon.com/trustedadvisor

    El banner de estado Trusted Advisor desactivado aparecerá en la consola.

  3. Selecciona Habilitar Trusted Advisor rol en el banner de estado. Si no se detecta el AWSServiceRoleForTrustedAdvisor necesario, el banner de estado permanece desactivado.

Modificación de un rol vinculado a servicios de Trusted Advisor

Dado que varias entidades pueden hacer referencia al rol vinculado al servicio, no puede cambiar su nombre después de crearlo. Sin embargo, puede utilizar la IAM consola o la IAM API para editar la descripción del rol. AWS CLI Para obtener más información, consulte Edición de un rol vinculado a un servicio en la Guía del IAMusuario.

Eliminación de un rol vinculado a un servicio de Trusted Advisor

Si no necesita usar las funciones o los servicios de Trusted Advisor, puede eliminar el AWSServiceRoleForTrustedAdvisor rol. Debe deshabilitarlo Trusted Advisor antes de poder eliminar este rol vinculado al servicio. Esto impide que se eliminen los permisos necesarios para las operaciones de Trusted Advisor . Al inhabilitar Trusted Advisor, deshabilita todas las funciones del servicio, incluidas las notificaciones y el procesamiento sin conexión. Además, si inhabilitas Trusted Advisor la cuenta de un miembro, también se verá afectada la cuenta de pagador independiente, lo que significa que no recibirás Trusted Advisor cheques que identifiquen formas de ahorrar costes. No puede obtener acceso a la consola de Trusted Advisor . APIllamadas para Trusted Advisor devolver un error de acceso denegado.

Debe volver a crear el rol vinculado al servicio de AWSServiceRoleForTrustedAdvisor en la cuenta para que pueda volver a habilitar Trusted Advisor.

Primero debe deshabilitarla Trusted Advisor en la consola para poder eliminar la función AWSServiceRoleForTrustedAdvisor vinculada al servicio.

Para inhabilitarlo Trusted Advisor
  1. Inicie sesión en AWS Management Console y navegue hasta la Trusted Advisor consola enhttps://console.aws.amazon.com/trustedadvisor.

  2. En el panel de navegación, elija Preferences (Preferencias).

  3. En la sección Service Linked Role Permissions (Permisos de roles vinculados a servicios), elija Disable (Desactivar) Trusted Advisor.

  4. En el cuadro de diálogo de confirmación, elija OK (Aceptar) para confirmar que desea desactivar Trusted Advisor.

Tras la desactivación Trusted Advisor, se Trusted Advisor desactivarán todas las funciones y la Trusted Advisor consola mostrará solo el cartel de estado de desactivado.

A continuación, puede utilizar la IAM consola AWS CLI, la o la IAM API para eliminar la función Trusted Advisor vinculada al servicio denominada. AWSServiceRoleForTrustedAdvisor Para obtener más información, consulte Eliminar un rol vinculado a un servicio en la Guía del usuario. IAM