Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios de Trusted Advisor
AWS Trusted Advisor usa el rol vinculado al AWS Identity and Access Management servicio (IAM). Un rol vinculado a un servicio es un rol de IAM único al que se vincula directamente. AWS Trusted Advisor Los roles vinculados al servicio están predefinidos e incluyen todos los permisos que el servicio requiere para llamar a otros AWS servicios en tu nombre. Trusted Advisor Trusted Advisor utiliza esta función para comprobar su uso AWS y ofrecer recomendaciones para mejorar su AWS entorno. Por ejemplo, Trusted Advisor analiza el uso de sus instancias de Amazon Elastic Compute Cloud (Amazon EC2) para ayudarlo a reducir los costos, aumentar el rendimiento, tolerar los fallos y mejorar la seguridad.
nota
AWS Support utiliza una función independiente vinculada al servicio de IAM para acceder a los recursos de su cuenta y prestar servicios de facturación, administrativos y de soporte. Para obtener más información, consulte Uso de roles vinculados a servicios de AWS Support.
Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM. Busque los servicios para los que se indique Sí en la columna Roles vinculados a servicios. Seleccione una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Temas
- Permisos de roles vinculados a servicios de Trusted Advisor
- Administración de permisos de roles vinculados a servicios
- Creación de un rol vinculado a un servicio de Trusted Advisor
- Modificación de un rol vinculado a servicios de Trusted Advisor
- Eliminación de un rol vinculado a un servicio de Trusted Advisor
Permisos de roles vinculados a servicios de Trusted Advisor
Trusted Advisor utiliza dos funciones vinculadas al servicio:
-
AWSServiceRoleForTrustedAdvisor
— Esta función confía en que el Trusted Advisor servicio asuma la función de acceder a AWS los servicios en su nombre. La política de permisos del rol permite el acceso Trusted Advisor de solo lectura a todos AWS los recursos. Esta función simplifica la tarea de empezar a utilizar tu AWS cuenta, ya que no tienes que añadir los permisos necesarios para ella. Trusted Advisor Cuando abres una AWS cuenta, Trusted Advisor crea este rol para ti. Los permisos definidos incluyen la política de confianza y la política de permisos. No se puede adjuntar la política de permisos a ninguna otra entidad de IAM. Para obtener más información sobre la política adjunta, consulte AWSTrustedAdvisorServiceRolePolicy.
-
AWSServiceRoleForTrustedAdvisorReporting
: este rol confía en el servicio de Trusted Advisor para asumir el rol de la característica de vista organizativa. Este rol se habilita Trusted Advisor como un servicio de confianza en su AWS Organizations organización. Trusted Advisor crea este rol para usted cuando habilita la vista organizacional. Para obtener más información sobre la política adjunta, consulte AWSTrustedAdvisorReportingServiceRolePolicy.
Puede utilizar la vista organizativa para crear informes y Trusted Advisor comprobar los resultados de todas las cuentas de la organización. Para obtener más información acerca de esta característica, consulte Vista organizativa para AWS Trusted Advisor.
Administración de permisos de roles vinculados a servicios
Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. En los siguientes ejemplos, se utiliza el rol vinculado a servicio de AWSServiceRoleForTrustedAdvisor
.
ejemplo : permitir que una entidad de IAM cree el rol vinculado a servicio de AWSServiceRoleForTrustedAdvisor
Este paso solo es necesario si la Trusted Advisor cuenta está deshabilitada, se elimina el rol vinculado al servicio y el usuario debe volver a crear el rol para volver a habilitarlo. Trusted Advisor
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM para crear el rol vinculado al servicio.
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
ejemplo : permitir a una entidad de IAM editar la descripción del rol vinculado a servicio AWSServiceRoleForTrustedAdvisor
Solo puede editar la descripción para el rol de AWSServiceRoleForTrustedAdvisor
. Puede agregar la siguiente instrucción a la política de permisos de la entidad de IAM para editar la descripción del rol vinculado al servicio.
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
ejemplo : permitir a una entidad de IAM eliminar el rol vinculado a servicio de AWSServiceRoleForTrustedAdvisor
Puede agregar la siguiente instrucción a la política de permisos de la entidad de IAM para eliminar el rol vinculado al servicio.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
También puede usar una política AWS administrada, por ejemplo, para proporcionar AdministratorAccess
Creación de un rol vinculado a un servicio de Trusted Advisor
No necesita crear manualmente el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor
. Al abrir una AWS cuenta, Trusted Advisor crea automáticamente el rol vinculado al servicio.
importante
Si utilizabas el Trusted Advisor servicio antes de que comenzara a admitir roles vinculados al servicio, entonces Trusted Advisor ya creaste el AWSServiceRoleForTrustedAdvisor
rol en tu cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM en la Guía del usuario de IAM.
Si su cuenta no tiene el rol vinculado a servicio AWSServiceRoleForTrustedAdvisor
, Trusted Advisor no funcionará según lo previsto. Esto podría ocurrir si alguien desactivara Trusted Advisor en su cuenta y, a continuación, eliminara el rol vinculado al servicio. En este caso, puede utilizar IAM para crear el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor
y, a continuación, habilitar de nuevo Trusted Advisor.
Para habilitar Trusted Advisor (consola)
-
Utilice la consola de IAM o la API de IAM para crear un rol vinculado a un servicio para. AWS CLI Trusted Advisor Para obtener más información, consulte Crear un rol vinculado al servicio.
-
Inicie sesión en y AWS Management Console, a continuación, navegue hasta la consola en. Trusted Advisor https://console.aws.amazon.com/trustedadvisor
El banner de estado Trusted Advisor desactivado aparecerá en la consola.
-
Selecciona Habilitar Trusted Advisor rol en el banner de estado. Si no se detecta el
AWSServiceRoleForTrustedAdvisor
necesario, el banner de estado permanece desactivado.
Modificación de un rol vinculado a servicios de Trusted Advisor
Dado que varias entidades pueden hacer referencia al rol vinculado al servicio, no puede cambiar su nombre después de crearlo. Sin embargo, puede utilizar la consola de IAM o la API de IAM para editar la descripción del rol. AWS CLI Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.
Eliminación de un rol vinculado a un servicio de Trusted Advisor
Si no necesita usar las funciones o los servicios de Trusted Advisor, puede eliminar el AWSServiceRoleForTrustedAdvisor
rol. Debe deshabilitarlo Trusted Advisor antes de poder eliminar este rol vinculado al servicio. Esto impide que se eliminen los permisos necesarios para las operaciones de Trusted Advisor . Al inhabilitar Trusted Advisor, deshabilita todas las funciones del servicio, incluidas las notificaciones y el procesamiento sin conexión. Además, si inhabilitas Trusted Advisor la cuenta de un miembro, también se verá afectada la cuenta de pagador independiente, lo que significa que no recibirás Trusted Advisor cheques que identifiquen formas de ahorrar costes. No puede obtener acceso a la consola de Trusted Advisor
. Las llamadas a la API Trusted Advisor devuelven un error de acceso denegado.
Debe volver a crear el rol vinculado al servicio de AWSServiceRoleForTrustedAdvisor
en la cuenta para que pueda volver a habilitar Trusted Advisor.
Primero debes inhabilitarlo Trusted Advisor en la consola para poder eliminar el rol AWSServiceRoleForTrustedAdvisor
vinculado al servicio.
Para inhabilitar Trusted Advisor
-
Inicie sesión en AWS Management Console y navegue hasta la Trusted Advisor consola enhttps://console.aws.amazon.com/trustedadvisor
. -
En el panel de navegación, elija Preferences (Preferencias).
-
En la sección Service Linked Role Permissions (Permisos de roles vinculados a servicios), elija Disable (Desactivar) Trusted Advisor.
-
En el cuadro de diálogo de confirmación, elija OK (Aceptar) para confirmar que desea desactivar Trusted Advisor.
Tras la desactivación Trusted Advisor, se Trusted Advisor desactivarán todas las funciones y la Trusted Advisor consola mostrará solo el cartel de estado de desactivado.
A continuación, puede utilizar la consola de IAM AWS CLI, la API de IAM o la API de IAM para eliminar el rol vinculado al Trusted Advisor servicio denominado. AWSServiceRoleForTrustedAdvisor
Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.