本文属于机器翻译版本。若本译文内容与英语原文存在差异,则一律以英文原文为准。
将服务相关角色用于 Trusted Advisor
AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) 服务相关角色。服务相关角色是直接与之关联的独特IAM角色。 AWS Trusted Advisor服务相关角色由预定义 Trusted Advisor,它们包括该服务代表您调用其他 AWS 服务所需的所有权限。 Trusted Advisor 使用此角色来检查您的使用情况, AWS 并提供改善 AWS 环境的建议。例如, Trusted Advisor 分析您的亚马逊弹性计算云 (AmazonEC2) 实例使用情况,以帮助您降低成本、提高性能、容忍故障和提高安全性。
注意
AWS Support 使用单独的IAM服务相关角色访问您账户的资源,以提供账单、管理和支持服务。有关更多信息,请参阅 将服务相关角色用于 AWS Support。
有关支持服务相关角色的其他服务的信息,请参阅与之配合IAM使用的AWS 服务。查找在 Service-linked role(服务相关角色)列的值为 Yes(是)的服务。请选择是与查看该服务的服务相关角色文档的链接。
主题
Trusted Advisor的服务相关角色权限
Trusted Advisor 使用两个与服务相关的角色:
-
AWSServiceRoleForTrustedAdvisor
— 此角色信任 Trusted Advisor 服务代替您访问 AWS 服务的角色。角色权限策略允许对所有 AWS 资源进行 Trusted Advisor 只读访问。此角色简化了 AWS 账户的入门流程,因为您不必为添加必要的权限 Trusted Advisor。当您开设 AWS 账户时, Trusted Advisor 会为您创建此角色。定义的权限包括信任策略和权限策略。您不能将权限策略附加到任何其他IAM实体。 有关附加策略的更多信息,请参阅AWSTrustedAdvisorServiceRolePolicy。
-
AWSServiceRoleForTrustedAdvisorReporting
– 此角色信任 Trusted Advisor 服务来担任组织视图功能的角色。此角色可 Trusted Advisor 作为 AWS Organizations 组织中的可信服务启用。 Trusted Advisor 启用组织视图时会为您创建此角色。 有关附加策略的更多信息,请参阅 AWSTrustedAdvisorReportingServiceRolePolicy.
您可以使用组织视图为组织中的所有账户创建 Trusted Advisor 检查结果报告。有关此特征的更多信息,请参阅 AWS Trusted Advisor 的组织视图。
管理服务相关角色的权限
必须配置权限以允许实IAM体(例如用户、组或角色)创建、编辑或删除服务相关角色。以下示例使用 AWSServiceRoleForTrustedAdvisor
服务相关角色。
例 : 允许IAM实体创建AWSServiceRoleForTrustedAdvisor
服务相关角色
只有在禁用 Trusted Advisor 帐户、删除服务相关角色并且用户必须重新创建角色才能重新启用时,才需要执行此步骤。 Trusted Advisor
您可以将以下语句添加到创建服务相关角色的IAM实体的权限策略中。
{ "Effect": "Allow", "Action": [ "iam:CreateServiceLinkedRole", "iam:PutRolePolicy" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : 允许IAM实体编辑AWSServiceRoleForTrustedAdvisor
服务相关角色的描述
您只能编辑 AWSServiceRoleForTrustedAdvisor
角色的描述。您可以将以下语句添加到该IAM实体的权限策略中,以编辑服务相关角色的描述。
{ "Effect": "Allow", "Action": [ "iam:UpdateRoleDescription" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
例 : 允许IAM实体删除AWSServiceRoleForTrustedAdvisor
服务相关角色
您可以将以下语句添加到该IAM实体的权限策略中,以删除服务相关角色。
{ "Effect": "Allow", "Action": [ "iam:DeleteServiceLinkedRole", "iam:GetServiceLinkedRoleDeletionStatus" ], "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*", "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}} }
您也可以使用 AWS 托管策略(例如 AdministratorAccess
为 Trusted Advisor创建服务相关角色
无需手动创建 AWSServiceRoleForTrustedAdvisor
服务相关角色。当您开设 AWS 账户时, Trusted Advisor 会为您创建服务相关角色。
重要
如果您在服务开始支持 Trusted Advisor 服务相关角色之前使用该服务,则 Trusted Advisor 已经在您的账户中创建了该AWSServiceRoleForTrustedAdvisor
角色。要了解更多信息,请参阅IAM用户指南中的我的IAM账户中出现了一个新角色。
如果您的账户没有 AWSServiceRoleForTrustedAdvisor
服务相关角色, Trusted Advisor 将无法按预期工作。如果您的账户中有人将 Trusted Advisor 禁用然后又删除服务相关角色,可能会出现上述情况。在这种情况下,您可以使用IAM创建AWSServiceRoleForTrustedAdvisor
服务相关角色,然后重新启 Trusted Advisor用。
启用 Trusted Advisor (控制台)
-
使用IAM控制台 AWS CLI、或IAMAPI为其创建服务相关角色。 Trusted Advisor有关更多信息,请参阅创建服务相关角色。
-
登录 AWS Management Console,然后导航到 Trusted Advisor 控制台,网址为https://console.aws.amazon.com/trustedadvisor
。 禁用的 Trusted Advisor 状态横幅显示在控制台中。
-
从状态横幅中选择 “启用 Trusted Advisor 角色”。如果未检测到所需的
AWSServiceRoleForTrustedAdvisor
,则已禁用状态横幅仍将显示。
为 Trusted Advisor编辑服务相关角色
由于多个实体可能引用该角色,因此无法更改服务相关角色的名称。但是,您可以使用IAM控制台 AWS CLI、或IAMAPI来编辑角色的描述。有关更多信息,请参阅《IAM用户指南》中的编辑服务相关角色。
删除 Trusted Advisor的服务相关角色
如果您不需要使用的功能或服务 Trusted Advisor,则可以删除该AWSServiceRoleForTrustedAdvisor
角色。必须 Trusted Advisor 先禁用此服务相关角色,然后才能删除此服务相关角色。这样可以防止您删除 Trusted Advisor 操作所需的权限。禁用后 Trusted Advisor,即禁用所有服务功能,包括离线处理和通知。此外,如果您 Trusted Advisor 为成员账户禁用,则单独的付款人账户也会受到影响,这意味着您将不会收到确定节省成本的方法的 Trusted Advisor 支票。您无法访问 Trusted Advisor
控制台。API调用 Trusted Advisor 返回拒绝访问错误。
您必须在 AWSServiceRoleForTrustedAdvisor
账户中重新创建服务相关角色,然后才能重新启用 Trusted Advisor。
必须先在控制台 Trusted Advisor 中禁用服务相关角色,然后才能删除AWSServiceRoleForTrustedAdvisor
服务相关角色。
要禁用 Trusted Advisor
-
登录 AWS Management Console 并导航到 Trusted Advisor 控制台,网址为https://console.aws.amazon.com/trustedadvisor
。 -
在导航窗格中,选择首选项。
-
在服务相关角色权限部分中,选择禁用 Trusted Advisor。
-
在确认对话框中,通过选择 OK(确定)来确认您要禁用 Trusted Advisor。
禁用后 Trusted Advisor,所有 Trusted Advisor 功能都将被禁用,并且 Trusted Advisor 控制台仅显示禁用状态横幅。
然后,您可以使用IAM控制台 AWS CLI、或删除名IAMAPIAWSServiceRoleForTrustedAdvisor
为的 Trusted Advisor 服务相关角色。有关更多信息,请参阅《IAM用户指南》中的删除服务相关角色。