Utilizzo di ruoli collegati ai servizi per Trusted Advisor - Supporto AWS
Autorizzazioni del ruolo collegato ai servizi per Trusted AdvisorGestione dei permessi per ruoli collegati ai serviziCreazione di un ruolo collegato ai servizi per Trusted AdvisorModifica di un ruolo collegato ai servizi per Trusted AdvisorEliminazione di un ruolo collegato ai servizi per Trusted Advisor

Le traduzioni sono generate tramite traduzione automatica. In caso di conflitto tra il contenuto di una traduzione e la versione originale in Inglese, quest'ultima prevarrà.

Utilizzo di ruoli collegati ai servizi per Trusted Advisor

AWS Trusted Advisor utilizza il ruolo collegato al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un ruolo IAM unico a cui è collegato direttamente. AWS Trusted Advisor I ruoli collegati ai servizi sono predefiniti da Trusted Advisor e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per tuo conto. AWS Trusted Advisor utilizza questo ruolo per verificare l'utilizzo da parte dell'utente AWS e fornire consigli per migliorare l'ambiente. AWS Ad esempio, Trusted Advisor analizza l'utilizzo dell'istanza Amazon Elastic Compute Cloud EC2 (Amazon) per aiutarti a ridurre i costi, aumentare le prestazioni, tollerare i guasti e migliorare la sicurezza.

Nota

Supporto AWS utilizza un ruolo separato collegato ai servizi IAM per accedere alle risorse del tuo account e fornire servizi di fatturazione, amministrazione e supporto. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per Supporto AWS.

Per informazioni sugli altri servizi che supportano i ruoli collegati ai servizi, consulta la sezione Servizi AWS supportati da IAM. Cerca i servizi che hanno nella colonna Ruolo collegato ai servizi. Scegli in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Trusted Advisor

Trusted Advisor utilizza due ruoli collegati ai servizi:

  • AWSServiceRoleForTrustedAdvisor— Questo ruolo prevede che il Trusted Advisor servizio assuma il ruolo di accedere ai AWS servizi per conto dell'utente. La politica di autorizzazione dei ruoli consente l'accesso in Trusted Advisor sola lettura a tutte le risorse. AWS Questo ruolo semplifica le operazioni iniziali con l' AWS account, in quanto non è necessario aggiungere le autorizzazioni necessarie per. Trusted Advisor Quando apri un AWS account, Trusted Advisor crea questo ruolo per te. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Le policy di autorizzazioni non possono essere attribuite a nessun'altra entità IAM.

    Per ulteriori informazioni sulla policy attribuita, consulta la sezione AWSTrustedAdvisorServiceRolePolicy.

  • AWSServiceRoleForTrustedAdvisorReporting: Questo ruolo consente al servizio Trusted Advisor di assumere il ruolo per la funzionalità di visualizzazione dell'organizzazione. Questo ruolo Trusted Advisor funge da servizio affidabile all'interno AWS Organizations dell'organizzazione. Trusted Advisor crea questo ruolo per te quando abiliti la visualizzazione organizzativa.

    Per ulteriori informazioni sulla politica allegata, vedere AWSTrustedAdvisorReportingServiceRolePolicy.

    È possibile utilizzare la visualizzazione organizzativa per creare report per Trusted Advisor controllare i risultati di tutti gli account dell'organizzazione. Per ulteriori informazioni sull'utilizzo di questa caratteristica, consulta Visualizzazione organizzativa per AWS Trusted Advisor.

Gestione dei permessi per ruoli collegati ai servizi

Per consentire a un'entità IAM (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato ai servizi devi configurare le relative autorizzazioni. Gli esempi seguenti utilizzano il ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor.

Esempio : Consentire a un'entità IAM di creare il ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor

Questo passaggio è necessario solo se l' Trusted Advisor account è disabilitato, il ruolo collegato al servizio viene eliminato e l'utente deve ricreare il ruolo per riattivarlo. Trusted Advisor

Puoi aggiungere la seguente istruzione alla policy delle autorizzazioni per permettere all'entità IAM di creare il ruolo collegato ai servizi.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
Esempio : Consentire a un'entità IAM di modificare la descrizione del ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor

Puoi modificare solo la descrizione per ruolo AWSServiceRoleForTrustedAdvisor. Puoi aggiungere la seguente istruzione alla policy delle autorizzazioni per permettere all'entità IAM di modificare la descrizione di un ruolo collegato ai servizi.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
Esempio : Consentire a un'entità IAM di eliminare il ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor

Aggiungi la seguente istruzione alla policy delle autorizzazioni per permettere all'entità IAM di eliminare un ruolo collegato ai servizi.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

È inoltre possibile utilizzare una politica AWS gestita, ad esempio per fornire l'AdministratorAccessaccesso completo a. Trusted Advisor

Creazione di un ruolo collegato ai servizi per Trusted Advisor

Non devi creare manualmente il ruolo collegato al servizio AWSServiceRoleForTrustedAdvisor. Quando apri un AWS account, Trusted Advisor crea automaticamente il ruolo collegato al servizio.

Importante

Se utilizzavi il Trusted Advisor servizio prima che iniziasse a supportare i ruoli collegati al servizio, allora hai Trusted Advisor già creato il AWSServiceRoleForTrustedAdvisor ruolo nel tuo account. Per ulteriori informazioni, consulta Comparsa di un nuovo ruolo nell'account IAM nella Guida per l'utente IAM.

Se l'account non ha un ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor collegato ai servizi, Trusted Advisor non funzionerà nel modo previsto. Questo potrebbe accadere se qualcuno nell'account ha disabilitato Trusted Advisor e ha eliminato il ruolo collegato ai servizi. In questo caso è possibile utilizzare IAM per creare il ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor collegato ai servizi per poi riabilitare Trusted Advisor.

Da abilitare Trusted Advisor (console)

  1. Utilizza la console IAM o AWS CLI l'API IAM per creare un ruolo collegato al servizio per. Trusted Advisor Per ulteriori informazioni, consultare la pagina relativa alla creazione di un ruolo collegato ai servizi.

  2. Accedi a AWS Management Console, quindi accedi alla Trusted Advisor console all'indirizzo. https://console.aws.amazon.com/trustedadvisor

    Nella console viene visualizzato il banner che indica lo stato Disabled Trusted Advisor (Truster Advisor disabilitato).

  3. Scegli Abilita Trusted Advisor ruolo dal banner di stato. Se il AWSServiceRoleForTrustedAdvisor richiesto non viene rilevato, il banner di stato rimane disabilitato.

Modifica di un ruolo collegato ai servizi per Trusted Advisor

Dopo aver creato un ruolo collegato ai servizi, non è possibile modificarne il nome, perché potrebbero riferirvisi diverse entità. Tuttavia, puoi utilizzare la console IAM o l'API IAM per modificare la descrizione del ruolo. AWS CLI Per ulteriori informazioni, consulta Modifica di un ruolo collegato ai servizi nella Guida per l'utente di IAM.

Eliminazione di un ruolo collegato ai servizi per Trusted Advisor

Se non è necessario utilizzare le funzionalità o i servizi di Trusted Advisor, puoi eliminare il AWSServiceRoleForTrustedAdvisor ruolo. È necessario disattivarlo Trusted Advisor prima di poter eliminare questo ruolo collegato al servizio. Questo ti impedisce di rimuovere le autorizzazioni necessarie per eseguire le operazioni di Trusted Advisor . Quando si disattiva Trusted Advisor, si disattivano tutte le funzionalità del servizio, tra cui l'elaborazione e le notifiche offline. Inoltre, se disattivi Trusted Advisor un account membro, ne risentirà anche l'account di pagamento separato, il che significa che non riceverai Trusted Advisor assegni che identificano i modi per risparmiare sui costi. Non è possibile accedere alla console Trusted Advisor . Chiamate API per Trusted Advisor restituire un errore di accesso negato.

È necessario ricreare il ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor collegato ai servizi nell'account prima di poter riabilitare Trusted Advisor.

È necessario innanzitutto disabilitarlo Trusted Advisor nella console prima di poter eliminare il ruolo AWSServiceRoleForTrustedAdvisor collegato al servizio.

Per disabilitare Trusted Advisor

  1. Accedi a AWS Management Console e vai alla Trusted Advisor console all'indirizzohttps://console.aws.amazon.com/trustedadvisor.

  2. Nel riquadro di navigazione, scegli Preferences (Preferenze).

  3. Nella sezione Service Linked Role Permissions (Autorizzazioni del ruolo collegato ai servizi), selezionare Disable Trusted Advisor(Disabilita &SERVICENAME;).

  4. Nella finestra di dialogo di conferma, clicca su OK per disabilitare Trusted Advisor.

Dopo la disattivazione Trusted Advisor, tutte le Trusted Advisor funzionalità vengono disattivate e la Trusted Advisor console visualizza solo il banner di stato di disabilitazione.

Puoi quindi utilizzare la console IAM AWS CLI, l'o l'API IAM per eliminare il ruolo Trusted Advisor collegato al servizio denominato. AWSServiceRoleForTrustedAdvisor Per ulteriori informazioni, consulta Eliminazione del ruolo collegato al servizio nella Guida per l'utente di IAM.