Uso de roles vinculados a servicios para AWS Compute Optimizer - AWS Compute Optimizer
Permisos de roles vinculados a servicios de Compute OptimizerPermisos de roles vinculados a serviciosCreación de un rol vinculado a servicios para Compute OptimizerEdición de un rol vinculado a servicios para Compute OptimizerEliminación de un rol vinculado a servicios para Compute OptimizerRegiones admitidas para los roles vinculados al servicio de Compute OptimizerRecursos adicionales

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para AWS Compute Optimizer

AWS Compute Optimizer usa roles vinculados al AWS Identity and Access Management servicio (IAM). Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Compute Optimizer. Los roles vinculados a servicios están predefinidos por Compute Optimizer e incluyen todos los permisos que el servicio requiere para llamar a otros servicios en su nombre.

Con un rol vinculado a servicios, la configuración de Compute Optimizer no requiere agregar manualmente los permisos necesarios. Compute Optimizer define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Compute Optimizer puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios en los que se indica en la columna Rol vinculado a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado a servicios en cuestión.

Permisos de roles vinculados a servicios de Compute Optimizer

Compute Optimizer usa el rol vinculado al servicio que se denomina para AWSServiceRoleForComputeOptimizeracceder a las CloudWatch métricas de Amazon para AWS los recursos de la cuenta.

El rol AWSService RoleForComputeOptimizer vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • compute-optimizer.amazonaws.com

La política de permisos del rol permite que Compute Optimizer realice las siguientes acciones en los recursos especificados:

  • Acción: cloudwatch:GetMetricData en todos AWS los recursos.

  • Acción: cloudwatch:DescribeAlarms sobre todos los AWS recursos.

  • Acción: organizations:DescribeOrganization sobre todos los AWS recursos.

  • Acción: organizations:ListAccounts sobre todos los AWS recursos.

  • Acción: organizations:ListAWSServiceAccessForOrganization en todos los recursos de AWS .

  • Acción: organizations:ListDelegatedAdministrators en todos los recursos de AWS .

  • Acción: autoscaling:DescribeAutoScalingInstances en todos los recursos de AWS .

  • Acción: autoscaling:DescribeAutoScalingGroups en todos los recursos de AWS .

  • Acción: autoscaling:DescribePolicies en todos los recursos de AWS .

  • Acción: autoscaling:DescribeScheduledActions en todos los recursos de AWS .

  • Acción: ec2:DescribeInstances en todos los recursos de AWS .

  • Acción: ec2:DescribeVolumes en todos los recursos de AWS .

Permisos de roles vinculados a servicios

Para crear un rol vinculado a servicios para Compute Optimizer, configure los permisos para permitir a una entidad de IAM (usuario, un grupo o un rol) crear un rol vinculado a servicios. Para obtener más información, consulte Permisos de roles vinculados a servicios en la Guía del usuario de IAM.

Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico para Compute Optimizer

Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Creación de un rol vinculado a servicios para Compute Optimizer

No necesita crear manualmente un rol vinculado a servicios. Cuando optas por el servicio Compute Optimizer en la AWS Management Console, la o la AWS API AWS CLI, Compute Optimizer crea el rol vinculado al servicio por ti.

importante

Este rol vinculado al servicio puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en la cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando activa la participación en el servicio de Compute Optimizer, Compute Optimizer se encarga de crear el rol vinculado a servicios de nuevo.

Edición de un rol vinculado a servicios para Compute Optimizer

Compute Optimizer no te permite editar el rol vinculado al AWSService RoleForComputeOptimizer servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte Edición de un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a servicios para Compute Optimizer

Te recomendamos que, si ya no necesitas usar Compute Optimizer, elimines la función vinculada al AWSService RoleForComputeOptimizer servicio. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe desactivar Compute Optimizer.

Para desactivar Compute Optimizer

Para obtener información sobre cómo desactivar Compute Optimizer, consulte Cancelación de la suscripción a Compute Optimizer.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSService RoleForComputeOptimizer Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Compute Optimizer

Compute Optimizer admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para ver las Regiones de AWS y los puntos de conexión admitidos actualmente para Compute Optimizer, consulte Compute Optimizer Endpoints and Quotas en la Referencia general de AWS .

Recursos adicionales