Usar funções vinculadas ao serviço do Trusted Advisor - AWS Support
Permissões de função vinculada ao serviço Trusted AdvisorGerenciar permissões para funções vinculadas ao serviçoCriação de uma função vinculada ao serviço para o Trusted AdvisorEditar um perfil vinculado ao serviço para o Trusted AdvisorExcluir um perfil vinculado ao serviço para o Trusted Advisor

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usar funções vinculadas ao serviço do Trusted Advisor

AWS Trusted Advisor usa a função vinculada ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é uma função exclusiva do IAM vinculada diretamente a. AWS Trusted Advisor As funções vinculadas ao serviço são predefinidas por Trusted Advisor, e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome. Trusted Advisor usa essa função para verificar seu uso AWS e fornecer recomendações para melhorar seu AWS ambiente. Por exemplo, Trusted Advisor analisa o uso da sua instância Amazon Elastic Compute Cloud EC2 (Amazon) para ajudá-lo a reduzir custos, aumentar o desempenho, tolerar falhas e melhorar a segurança.

nota

AWS Support usa uma função separada vinculada ao serviço do IAM para acessar os recursos da sua conta e fornecer serviços administrativos, de faturamento e de suporte. Para obter mais informações, consulte Usar funções vinculadas ao serviço do AWS Support.

Para obter informações sobre outros produtos que oferecem suporte a funções vinculadas aos serviços, consulte Produtos da AWS que funcionam com o IAM. Procure os serviços que têm Yes (Sim) na coluna Função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculada ao serviço Trusted Advisor

Trusted Advisor usa duas funções vinculadas ao serviço:

  • AWSServiceRoleForTrustedAdvisor— Essa função confia no Trusted Advisor serviço para assumir a função de acessar AWS os serviços em seu nome. A política de permissões de função permite acesso Trusted Advisor somente de leitura a todos AWS os recursos. Essa função simplifica o início da sua AWS conta, pois você não precisa adicionar as permissões necessárias para o. Trusted Advisor Quando você abre uma AWS conta, Trusted Advisor cria essa função para você. As permissões definidas incluem a política de confiança e a política de permissões. Não é possível anexar a política de permissões a nenhuma outra entidade do IAM.

    Para obter mais informações sobre a política anexada, consulte AWSTrustedAdvisorServiceRolePolicy.

  • AWSServiceRoleForTrustedAdvisorReporting - Essa função confia no Trusted Advisor para assumir a função para o recurso de visualização organizacional. Essa função é ativada Trusted Advisor como um serviço confiável em sua AWS Organizations organização. Trusted Advisor cria essa função para você quando você ativa a visualização organizacional.

    Para obter mais informações sobre a política anexada, consulte AWSTrustedAdvisorReportingServiceRolePolicy.

    Você pode usar a visualização organizacional para criar relatórios para resultados de Trusted Advisor verificação de todas as contas em sua organização. Para obter mais informações sobre esse atributo, consulte Visão organizacional para AWS Trusted Advisor.

Gerenciar permissões para funções vinculadas ao serviço

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua um perfil vinculado a serviço. Os exemplos a seguir usam a função vinculada ao serviço do AWSServiceRoleForTrustedAdvisor.

exemplo : Permitir que uma entidade do IAM crie a função vinculada ao serviço do AWSServiceRoleForTrustedAdvisor

Essa etapa é necessária somente se a Trusted Advisor conta estiver desativada, a função vinculada ao serviço for excluída e o usuário precisar recriar a função para reativá-la. Trusted Advisor

É possível adicionar a instrução a seguir à política de permissões para que a entidade do IAM crie a função vinculada ao serviço.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
exemplo : Permitir que uma entidade do IAM edite a descrição da função vinculada ao serviço AWSServiceRoleForTrustedAdvisor

Você só pode editar a descrição da função do AWSServiceRoleForTrustedAdvisor. É possível adicionar a instrução a seguir à política de permissões para que a entidade do IAM edite a descrição de uma função vinculada ao serviço.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
exemplo : Permitir que uma entidade do IAM exclua a função vinculada ao serviço AWSServiceRoleForTrustedAdvisor

É possível adicionar a instrução a seguir à política de permissões para que a entidade do IAM exclua uma função vinculada ao serviço.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

Você também pode usar uma política AWS gerenciada AdministratorAccess, como, para fornecer acesso total Trusted Advisor a.

Criação de uma função vinculada ao serviço para o Trusted Advisor

Você não precisa criar manualmente a função vinculada a serviço AWSServiceRoleForTrustedAdvisor. Quando você abre uma AWS conta, Trusted Advisor cria a função vinculada ao serviço para você.

Importante

Se você estava usando o Trusted Advisor serviço antes de ele começar a oferecer suporte a funções vinculadas ao serviço, então Trusted Advisor já criou a AWSServiceRoleForTrustedAdvisor função em sua conta. Para saber mais, consulte Uma nova função apareceu na minha conta do IAM no Manual do usuário do IAM.

Se a sua conta não tiver nenhuma função vinculada ao serviço AWSServiceRoleForTrustedAdvisor, o Trusted Advisor não funcionará como esperado. Isso pode acontecer se alguém desabilitar sua conta do Trusted Advisor e, em seguida, excluir a função vinculada ao serviço. Nesse caso, é possível usar o IAM para criar a função vinculada ao serviço AWSServiceRoleForTrustedAdvisor e, em seguida, habilitar o Trusted Advisor de novo.

Para habilitar Trusted Advisor (console)

  1. Use o console do IAM ou AWS CLI a API do IAM para criar uma função vinculada ao serviço para. Trusted Advisor Para obter mais informações, consulte Criar uma função vinculada ao serviço.

  2. Faça login no e AWS Management Console, em seguida, navegue até o Trusted Advisor console emhttps://console.aws.amazon.com/trustedadvisor.

    O banner de status Disabled Trusted Advisor (Trusted Advisor desabilitado) é exibido no console.

  3. Escolha Ativar Trusted Advisor função no banner de status. Se o AWSServiceRoleForTrustedAdvisor não for detectado, o banner de status desabilitado permanecerá.

Editar um perfil vinculado ao serviço para o Trusted Advisor

Não é possível alterar o nome da função, pois várias entidades podem fazer referência a ela. No entanto, você pode usar o console do IAM ou a API do IAM para editar a descrição da função. AWS CLI Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir um perfil vinculado ao serviço para o Trusted Advisor

Se você não precisar usar os recursos ou serviços do Trusted Advisor, você pode excluir a AWSServiceRoleForTrustedAdvisor função. Você deve desabilitar Trusted Advisor antes de excluir essa função vinculada ao serviço. Isso evita que você remova permissões necessárias pelas operações do Trusted Advisor . Ao desativar Trusted Advisor, você desativa todos os recursos do serviço, incluindo o processamento e as notificações off-line. Além disso, se você desativar Trusted Advisor a conta de um membro, a conta de pagante separada também será afetada, o que significa que você não receberá Trusted Advisor cheques que identifiquem formas de economizar custos. Não é possível acessar o console do Trusted Advisor . Chamadas de API para Trusted Advisor retornar um erro de acesso negado.

Você deve recriar a função AWSServiceRoleForTrustedAdvisor vinculada à conta antes de habilitar novamente o Trusted Advisor.

Você deve primeiro desabilitar Trusted Advisor no console antes de excluir a função AWSServiceRoleForTrustedAdvisor vinculada ao serviço.

Para desativar Trusted Advisor

  1. Faça login no AWS Management Console e navegue até o Trusted Advisor console emhttps://console.aws.amazon.com/trustedadvisor.

  2. No painel de navegação, escolha Preferences.

  3. Na seção Service Linked Role Permissions (Permissões de função vinculada ao serviço), escolha Disable Trusted Advisor (Desativar &SERVICENAME;).

  4. Na caixa de diálogo de confirmação, confirme se você deseja desabilitar o , escolhendo OK Trusted Advisor.

Depois que você desabilitar Trusted Advisor, todas as Trusted Advisor funcionalidades serão desativadas e o Trusted Advisor console exibirá somente o banner de status desativado.

Em seguida, você pode usar o console do IAM AWS CLI, o ou a API do IAM para excluir a função Trusted Advisor vinculada ao serviço chamada. AWSServiceRoleForTrustedAdvisor Para obter mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.