Les traductions sont fournies par des outils de traduction automatique. En cas de conflit entre le contenu d'une traduction et celui de la version originale en anglais, la version anglaise prévaudra.
Utilisation des rôles liés aux services pour Trusted Advisor
AWS Trusted Advisor utilise le rôle lié au service AWS Identity and Access Management (IAM). Un rôle lié à un service est un IAM rôle unique directement lié à. AWS Trusted Advisor Les rôles liés au service sont prédéfinis par Trusted Advisor et incluent toutes les autorisations dont le service a besoin pour appeler d'autres AWS services en votre nom. Trusted Advisor utilise ce rôle pour vérifier votre utilisation globale AWS et pour fournir des recommandations visant à améliorer votre AWS environnement. Par exemple, Trusted Advisor analyse l'utilisation de votre instance Amazon Elastic Compute Cloud (AmazonEC2) pour vous aider à réduire les coûts, à améliorer les performances, à tolérer les défaillances et à améliorer la sécurité.
Note
AWS Support utilise un rôle distinct IAM lié à un service pour accéder aux ressources de votre compte afin de fournir des services de facturation, d'administration et d'assistance. Pour de plus amples informations, veuillez consulter Utilisation des rôles liés aux services pour AWS Support.
Pour plus d'informations sur les autres services qui prennent en charge les rôles liés à un service, consultez la section AWS Services compatibles avec. IAM Recherchez les services qui comportent un Oui dans la colonne Rôle lié à un service. Choisissez un Oui ayant un lien pour consulter la documentation du rôle lié à un service, pour ce service.
Rubriques
Autorisations des rôles liés à un service pour Trusted Advisor
Trusted Advisor utilise deux rôles liés à un service :
-
AWSServiceRoleForTrustedAdvisor
— Ce rôle fait confiance au Trusted Advisor service pour assumer le rôle d'accéder aux AWS services en votre nom. La politique d'autorisation des rôles autorise l'accès Trusted Advisor en lecture seule à toutes AWS les ressources. Ce rôle simplifie la prise en main de votre AWS compte, car vous n'avez pas à ajouter les autorisations nécessaires pour Trusted Advisor. Lorsque vous ouvrez un AWS compte, Trusted Advisor crée ce rôle pour vous. Les autorisations définies comprennent la politique d'approbation et la politique d'autorisations. Vous ne pouvez associer la politique d'autorisation à aucune autre IAM entité. Pour plus d'informations sur la politique ci-jointe, consultez AWSTrustedAdvisorServiceRolePolicy.
-
AWSServiceRoleForTrustedAdvisorReporting
: Ce rôle approuve le service Trusted Advisor pour assumer le rôle de la fonctionnalité de vue organisationnelle. Ce Trusted Advisor rôle constitue un service fiable au sein de votre AWS Organizations organisation. Trusted Advisor crée ce rôle pour vous lorsque vous activez la vue organisationnelle. Pour plus d'informations sur la politique ci-jointe, voir AWSTrustedAdvisorReportingServiceRolePolicy.
Vous pouvez utiliser la vue organisationnelle pour créer des rapports contenant les résultats des Trusted Advisor vérifications pour tous les comptes de votre organisation. Pour en savoir plus sur cette fonction, consultez Vue organisationnelle pour AWS Trusted Advisor.
Gérer les autorisations de rôles liés à un service
Vous devez configurer les autorisations pour autoriser une IAM entité (telle qu'un utilisateur, un groupe ou un rôle) à créer, modifier ou supprimer un rôle lié à un service. Les exemples suivants utilisent le rôle lié à un service AWSServiceRoleForTrustedAdvisor.
Exemple : Autoriser une IAM entité à créer le rôle lié à un AWSServiceRoleForTrustedAdvisor service
Cette étape n'est nécessaire que si le Trusted Advisor compte est désactivé, si le rôle lié au service est supprimé et si l'utilisateur doit recréer le rôle pour le réactiver. Trusted Advisor
Vous pouvez ajouter l'instruction suivante à la politique d'autorisation pour que l'IAMentité crée le rôle lié au service.
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Exemple : Autoriser une IAM entité à modifier la description du rôle lié à AWSServiceRoleForTrustedAdvisor un service
Vous ne pouvez modifier que la description pour le rôle AWSServiceRoleForTrustedAdvisor. Vous pouvez ajouter la déclaration suivante à la politique d'autorisation pour que l'IAMentité modifie la description d'un rôle lié à un service.
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Exemple : Autoriser une IAM entité à supprimer le rôle AWSServiceRoleForTrustedAdvisor lié au service
Vous pouvez ajouter la déclaration suivante à la politique d'autorisation pour que l'IAMentité supprime un rôle lié à un service.
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
Vous pouvez également utiliser une politique AWS gérée, par exemple AdministratorAccess
Création d'un rôle lié à un service pour Trusted Advisor
Vous n'avez pas besoin de créer manuellement un rôle lié au service AWSServiceRoleForTrustedAdvisor. Lorsque vous ouvrez un AWS compte, il Trusted Advisor crée pour vous le rôle lié au service.
Important
Si vous utilisiez le Trusted Advisor service avant qu'il ne commence à prendre en charge les rôles liés au service, vous avez Trusted Advisor déjà créé le AWSServiceRoleForTrustedAdvisor rôle dans votre compte. Pour en savoir plus, consultez l'article Un nouveau rôle est apparu dans mon IAM compte dans le Guide de IAM l'utilisateur.
Si votre compte ne comporte pas de rôle lié à un service AWSServiceRoleForTrustedAdvisor, alors Trusted Advisor ne fonctionnera pas comme prévu. Cela peut se produire si un utilisateur de votre compte a désactivé Trusted Advisor puis a supprimé le rôle lié au service. Dans ce cas, vous pouvez l'utiliser IAM pour créer le rôle AWSServiceRoleForTrustedAdvisor lié au service, puis le réactiver. Trusted Advisor
Pour activer Trusted Advisor (console)
-
Utilisez la IAM console ou AWS CLI le IAM API pour créer un rôle lié à un service pour. Trusted Advisor Pour plus d'informations, consultez Création d'un rôle lié à un service.
-
Connectez-vous à AWS Management Console, puis accédez à la Trusted Advisor console à l'adressehttps://console.aws.amazon.com/trustedadvisor
. La bannière d'état Disabled Trusted Advisor (Trusted Advisor désactivé) s'affiche dans la console.
-
Choisissez Activer Trusted Advisor le rôle dans la bannière d'état. Si le
AWSServiceRoleForTrustedAdvisorobligatoire n'est pas détecté, la bannière d'état Disabled (Désactivé) reste affichée.
Modification d'un rôle lié à un service pour Trusted Advisor
Vous ne pouvez pas modifier le nom du rôle car diverses entités pourraient y faire référence. Vous pouvez toutefois utiliser la IAM console ou le IAM API pour modifier la description du rôle. AWS CLI Pour plus d'informations, consultez la section Modification d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
Suppression d'un rôle lié à un service pour Trusted Advisor
Si vous n'avez pas besoin d'utiliser les fonctionnalités ou les services de Trusted Advisor, vous pouvez supprimer le AWSServiceRoleForTrustedAdvisor rôle. Vous devez le désactiver Trusted Advisor avant de pouvoir supprimer ce rôle lié à un service. Cela vous évite de supprimer des autorisations requises par les opérations Trusted Advisor . Lorsque vous le désactivez Trusted Advisor, vous désactivez toutes les fonctionnalités du service, y compris le traitement hors ligne et les notifications. De plus, si vous le désactivez Trusted Advisor pour un compte membre, le compte payeur distinct est également affecté, ce qui signifie que vous ne recevrez pas de Trusted Advisor chèques identifiant des moyens de réduire les coûts. Vous ne pouvez pas accéder à la console Trusted Advisor
. APIappels pour Trusted Advisor renvoyer une erreur de refus d'accès.
Vous devez recréer le rôle lié au service AWSServiceRoleForTrustedAdvisor dans le compte avant de pouvoir réactiver Trusted Advisor.
Vous devez d'abord le désactiver Trusted Advisor dans la console avant de pouvoir supprimer le rôle AWSServiceRoleForTrustedAdvisor lié au service.
Pour désactiver Trusted Advisor
-
Connectez-vous à la console AWS Management Console et naviguez vers la Trusted Advisor console à l'adressehttps://console.aws.amazon.com/trustedadvisor
. -
Dans le volet de navigation, sélectionnez Préférences.
-
Dans la section Service Linked Role Permissions (Autorisations de rôles liés à un service), choisissez Désactiver Trusted Advisor.
-
Dans la boîte de dialogue de confirmation, choisissez OK pour confirmer la suppression de Trusted Advisor.
Après la désactivation Trusted Advisor, toutes les Trusted Advisor fonctionnalités sont désactivées et la Trusted Advisor console affiche uniquement la bannière d'état de désactivation.
Vous pouvez ensuite utiliser la IAM console AWS CLI, le ou le IAM API pour supprimer le rôle Trusted Advisor lié au service nommé. AWSServiceRoleForTrustedAdvisor Pour plus d'informations, consultez la section Suppression d'un rôle lié à un service dans le Guide de l'IAMutilisateur.
