Utilisation des rôles liés aux services pour Trusted Advisor - AWS Support

Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.

Utilisation des rôles liés aux services pour Trusted Advisor

AWS Trusted Advisor utilise le rôle AWS Identity and Access Management lié au service (IAM). Un rôle lié à un service est un rôle IAM unique directement lié à. AWS Trusted Advisor Les rôles liés au service sont prédéfinis par Trusted Advisor et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Trusted Advisor utilise ce rôle pour vérifier votre utilisation globale AWS et pour fournir des recommandations visant à améliorer votre AWS environnement. Par exemple, Trusted Advisor analyse l'utilisation de votre instance Amazon Elastic Compute Cloud (Amazon EC2) pour vous aider à réduire les coûts, à améliorer les performances, à tolérer les défaillances et à améliorer la sécurité.

Note

AWS Support utilise un rôle distinct lié au service IAM pour accéder aux ressources de votre compte afin de fournir des services de facturation, d'administration et de support. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS Support.

Pour obtenir des informations sur les autres services qui prennent en charge les rôles liés à un service, consultez Services AWS qui fonctionnent avec IAM. Recherchez les services qui comportent un Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.

Autorisations des rôles liés à un service pour Trusted Advisor

Trusted Advisor utilise deux rôles liés à un service :

  • AWSServiceRoleForTrustedAdvisor— Ce rôle fait confiance au Trusted Advisor service pour assumer le rôle d'accéder aux AWS services en votre nom. La politique d'autorisation des rôles autorise l'accès Trusted Advisor en lecture seule à toutes AWS les ressources. Ce rôle simplifie la prise en main de votre AWS compte, car vous n'avez pas à ajouter les autorisations nécessaires pour Trusted Advisor. Lorsque vous ouvrez un AWS compte, Trusted Advisor crée ce rôle pour vous. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Vous ne pouvez pas attacher la politique d'autorisations à une autre entité IAM.

    Pour plus d'informations sur la politique attachée, consultez AWSTrustedAdvisorServiceRolePolicy.

  • AWSServiceRoleForTrustedAdvisorReporting : Ce rôle approuve le service Trusted Advisor pour assumer le rôle de la fonctionnalité de vue organisationnelle. Ce Trusted Advisor rôle constitue un service fiable au sein de votre AWS Organizations organisation. Trusted Advisor crée ce rôle pour vous lorsque vous activez la vue organisationnelle.

    Pour plus d'informations sur la politique ci-jointe, voir AWSTrustedAdvisorReportingServiceRolePolicy.

    Vous pouvez utiliser la vue organisationnelle pour créer des rapports contenant les résultats des Trusted Advisor vérifications pour tous les comptes de votre organisation. Pour en savoir plus sur cette fonction, consultez Vue organisationnelle pour AWS Trusted Advisor.

Gérer les autorisations de rôles liés à un service

Vous devez configurer les autorisations de manière à permettre à une entité IAM (comme un utilisateur, un groupe ou un rôle) de créer, modifier ou supprimer un rôle lié à un service. Les exemples suivants utilisent le rôle lié à un service AWSServiceRoleForTrustedAdvisor.

Exemple  : Pour permettre à une entité IAM de créer le rôle lié à un service AWSServiceRoleForTrustedAdvisor

Cette étape n'est nécessaire que si le Trusted Advisor compte est désactivé, si le rôle lié au service est supprimé et si l'utilisateur doit recréer le rôle pour le réactiver. Trusted Advisor

Vous pouvez ajouter l'instruction suivante à la politique d'autorisations de l'entité IAM pour créer le rôle lié à un service.

{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Exemple  : Pour permettre à une entité IAM de modifier la description du rôle lié à un service AWSServiceRoleForTrustedAdvisor

Vous ne pouvez modifier que la description pour le rôle AWSServiceRoleForTrustedAdvisor. Vous pouvez ajouter l'instruction suivante à la politique d'autorisations de l'entité IAM pour modifier la description d'un rôle lié à un service.

{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Exemple  : Pour permettre à une entité IAM de supprimer le rôle lié à un service AWSServiceRoleForTrustedAdvisor

Vous pouvez ajouter l'instruction suivante à la politique d'autorisations de l'entité IAM pour supprimer un rôle lié à un service.

{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }

Vous pouvez également utiliser une politique AWS gérée, par exemple AdministratorAccesspour fournir un accès complet à Trusted Advisor.

Création d'un rôle lié à un service pour Trusted Advisor

Vous n'avez pas besoin de créer manuellement un rôle lié au service AWSServiceRoleForTrustedAdvisor. Lorsque vous ouvrez un AWS compte, il Trusted Advisor crée pour vous le rôle lié au service.

Important

Si vous utilisiez le Trusted Advisor service avant qu'il ne commence à prendre en charge les rôles liés au service, vous avez Trusted Advisor déjà créé le AWSServiceRoleForTrustedAdvisor rôle dans votre compte. Pour plus d'informations, consultez Un nouveau rôle est apparu dans mon compte IAM dans le Guide de l'utilisateur IAM.

Si votre compte ne comporte pas de rôle lié à un service AWSServiceRoleForTrustedAdvisor, alors Trusted Advisor ne fonctionnera pas comme prévu. Cela peut se produire si un utilisateur de votre compte a désactivé Trusted Advisor puis a supprimé le rôle lié au service. Dans ce cas, vous pouvez utiliser IAM pour créer le rôle lié à un service AWSServiceRoleForTrustedAdvisor, puis réactiver Trusted Advisor.

Pour activer Trusted Advisor (console)
  1. Utilisez la console IAM ou l'API IAM pour créer un rôle lié à un service pour. AWS CLI Trusted Advisor Pour plus d'informations, consultez Création d'un rôle lié à un service.

  2. Connectez-vous à AWS Management Console, puis accédez à la Trusted Advisor console à l'adressehttps://console.aws.amazon.com/trustedadvisor.

    La bannière d'état Disabled Trusted Advisor (Trusted Advisor désactivé) s'affiche dans la console.

  3. Choisissez Activer Trusted Advisor le rôle dans la bannière d'état. Si le AWSServiceRoleForTrustedAdvisor obligatoire n'est pas détecté, la bannière d'état Disabled (Désactivé) reste affichée.

Modification d'un rôle lié à un service pour Trusted Advisor

Vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Vous pouvez toutefois utiliser la console IAM ou AWS CLI l'API IAM pour modifier la description du rôle. Pour plus d’informations, consultez Modification d’un rôle lié à un service dans le IAM Guide de l’utilisateur.

Suppression d'un rôle lié à un service pour Trusted Advisor

Si vous n'avez pas besoin d'utiliser les fonctionnalités ou les services de Trusted Advisor, vous pouvez supprimer le AWSServiceRoleForTrustedAdvisor rôle. Vous devez le désactiver Trusted Advisor avant de pouvoir supprimer ce rôle lié à un service. Cela vous évite de supprimer des autorisations requises par les opérations Trusted Advisor . Lorsque vous le désactivez Trusted Advisor, vous désactivez toutes les fonctionnalités du service, y compris le traitement hors ligne et les notifications. De plus, si vous le désactivez Trusted Advisor pour un compte membre, le compte payeur distinct est également affecté, ce qui signifie que vous ne recevrez pas de Trusted Advisor chèques identifiant des moyens de réduire les coûts. Vous ne pouvez pas accéder à la console Trusted Advisor . Appels d'API pour Trusted Advisor renvoyer une erreur de refus d'accès.

Vous devez recréer le rôle lié au service AWSServiceRoleForTrustedAdvisor dans le compte avant de pouvoir réactiver Trusted Advisor.

Vous devez d'abord le désactiver Trusted Advisor dans la console avant de pouvoir supprimer le rôle AWSServiceRoleForTrustedAdvisor lié au service.

Pour désactiver Trusted Advisor
  1. Connectez-vous AWS Management Console et accédez à la Trusted Advisor console à l'adressehttps://console.aws.amazon.com/trustedadvisor.

  2. Dans le volet de navigation, sélectionnez Préférences.

  3. Dans la section Service Linked Role Permissions (Autorisations de rôles liés à un service), choisissez Désactiver Trusted Advisor.

  4. Dans la boîte de dialogue de confirmation, choisissez OK pour confirmer la suppression de Trusted Advisor.

Après la désactivation Trusted Advisor, toutes les Trusted Advisor fonctionnalités sont désactivées et la Trusted Advisor console affiche uniquement la bannière d'état de désactivation.

Vous pouvez ensuite utiliser la console IAM AWS CLI, ou l'API IAM pour supprimer le rôle lié au Trusted Advisor service nommé. AWSServiceRoleForTrustedAdvisor Pour plus d’informations, consultez Suppression d’un rôle lié à un service dans le Guide de l’utilisateur IAM.