使用 Trusted Advisor的服務連結角色 - AWS 支援
Trusted Advisor的服務連結角色許可管理服務連結角色的許可為 Trusted Advisor建立服務連結角色為 Trusted Advisor編輯服務連結角色為 Trusted Advisor刪除服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Trusted Advisor的服務連結角色

AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結的唯一 IAM 角色 AWS Trusted Advisor。服務連結角色是由 預先定義 Trusted Advisor,其中包含服務代表您呼叫其他 AWS 服務所需的所有許可。 Trusted Advisor 使用此角色來檢查跨 的用量, AWS 並提供改善環境 AWS 的建議。例如, Trusted Advisor 分析 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的使用,以協助您降低成本、提高效能、容忍故障並改善安全性。

注意

AWS 支援 使用單獨的 IAM 服務連結角色來存取您帳戶的資源,以提供帳單、管理和支援服務。如需詳細資訊,請參閱使用 AWS 支援的服務連結角色

關於支援服務連結角色的其他服務,如需相關資訊,請參閱搭配 IAM 使用的AWS 服務。尋找服務連結角色欄中顯示 Yes (是) 的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

Trusted Advisor的服務連結角色許可

Trusted Advisor 使用兩個服務連結角色:

  • AWSServiceRoleForTrustedAdvisor - 這個角色信任 Trusted Advisor 服務擔任角色以代表您存取 AWS 服務。角色許可政策允許所有 AWS 資源的 Trusted Advisor 唯讀存取。此角色可簡化 AWS 帳戶的入門,因為您不必為 新增必要的許可 Trusted Advisor。當您開啟 AWS 帳戶時, 會為您 Trusted Advisor 建立此角色。已定義的許可包括信任政策和許可政策。許可政策無法連接到其他任何 IAM 實體。

    如需連接政策的詳細資訊,請參閱 AWSTrustedAdvisorServiceRolePolicy

  • AWSServiceRoleForTrustedAdvisorReporting - 這個角色信任 Trusted Advisor 服務擔任使用組織檢視功能的角色。此角色會在您的 AWS Organizations 組織中啟用 Trusted Advisor 做為信任的服務。當您啟用組織檢視時, 會為您 Trusted Advisor 建立此角色。

    如需有關連接政策的詳細資訊,請參閱 AWSTrustedAdvisorReportingServiceRolePolicy

    您可以使用組織檢視來建立組織中所有帳戶的 Trusted Advisor 檢查結果報告。如需使用此功能的詳細資訊,請參閱「的組織檢視 AWS Trusted Advisor」。

管理服務連結角色的許可

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。下列範例使用 AWSServiceRoleForTrustedAdvisor 服務連結角色。

範例 :允取 IAM 實體建立 AWSServiceRoleForTrustedAdvisor 服務連結角色

只有在 Trusted Advisor 停用帳戶、刪除服務連結角色,且使用者必須重新建立角色才能重新啟用時,才需要此步驟 Trusted Advisor。

您可將下列陳述式新增至 IAM 實體建立服務連結角色所需的許可政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
範例 :允取 IAM 實體編輯 AWSServiceRoleForTrustedAdvisor 服務連結角色的描述

您只能編輯 AWSServiceRoleForTrustedAdvisor 角色的描述。您可將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
範例 :允取 IAM 實體刪除 AWSServiceRoleForTrustedAdvisor 服務連結角色

您可將下列陳述式新增至 IAM 實體刪除服務連結角色所需的許可政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

您也可以使用 AdministratorAccess 等 AWS 受管政策來提供 的完整存取權 Trusted Advisor。

為 Trusted Advisor建立服務連結角色

您不需要手動建立 AWSServiceRoleForTrustedAdvisor 服務連結角色。當您開啟 AWS 帳戶時, 會為您 Trusted Advisor 建立服務連結角色。

重要

如果您在 Trusted Advisor 服務開始支援服務連結角色之前就已使用 服務,則 Trusted Advisor 已在您的帳戶中建立該AWSServiceRoleForTrustedAdvisor角色。若要進一步了解,請參閱 IAM 使用者指南中的我的 IAM 帳戶中出現新角色

如果您的帳戶沒有 AWSServiceRoleForTrustedAdvisor 服務連結角色, Trusted Advisor 將無法如預期運作。若您帳戶中的某個人停用 Trusted Advisor ,然後刪除服務連結角色,可能會發生此情形。在這種情況下,您可以使用 IAM 來建立 AWSServiceRoleForTrustedAdvisor 服務連結角色,然後重新啟用 Trusted Advisor。

啟用 Trusted Advisor (主控台)

  1. 使用 IAM 主控台 AWS CLI或 IAM API 為 建立服務連結角色 Trusted Advisor。如需詳細資訊,請參閱建立服務連結角色

  2. 登入 AWS Management Console,然後在 導覽至 Trusted Advisor 主控台https://console.aws.amazon.com/trustedadvisor

    Disabled Trusted Advisor (已停用 Trusted Advisor) 狀態橫幅會顯示於主控台中。

  3. 從狀態橫幅中選擇啟用 Trusted Advisor 角色。如果未偵測到必要的 AWSServiceRoleForTrustedAdvisor,將持續顯示停用狀態橫幅。

為 Trusted Advisor編輯服務連結角色

因為各種實體可能會參考角色,所以您無法變更服務連結角色的名稱。不過,您可以使用 IAM 主控台 AWS CLI或 IAM API 來編輯角色的描述。如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

為 Trusted Advisor刪除服務連結角色

如果您不需要使用 的功能或服務 Trusted Advisor,您可以刪除AWSServiceRoleForTrustedAdvisor角色。您必須先停用 Trusted Advisor ,才能刪除此服務連結角色。這可防止您移除 Trusted Advisor 操作所需的許可。當您停用時 Trusted Advisor,您會停用所有服務功能,包括離線處理和通知。此外,如果您 Trusted Advisor 為成員帳戶停用 ,則個別付款人帳戶也會受到影響,這表示您不會收到可識別節省成本方式的 Trusted Advisor 檢查。您無法存取 Trusted Advisor 主控台。 Trusted Advisor 傳回存取遭拒錯誤的 API 呼叫。

您必須重新建立 AWSServiceRoleForTrustedAdvisor 服務連結角色,才能重新啟用 Trusted Advisor。

您必須先在 主控台 Trusted Advisor 中停用 ,才能刪除AWSServiceRoleForTrustedAdvisor服務連結角色。

停用 Trusted Advisor

  1. 登入 AWS Management Console ,並在 導覽至 Trusted Advisor 主控台https://console.aws.amazon.com/trustedadvisor

  2. 在導覽窗格中,選擇偏好設定

  3. Service Linked Role Permissions (服務連結角色許可) 區段中,選擇 Disable Trusted Advisor(停用 &SERVICENAME;)

  4. 在確認對話方塊中,選擇 OK (確定),確認您要停用 Trusted Advisor。

停用後 Trusted Advisor,所有 Trusted Advisor 功能都會停用,而且 Trusted Advisor 主控台只會顯示停用的狀態橫幅。

然後,您可以使用 IAM 主控台 AWS CLI、 或 IAM API 來刪除名為 Trusted Advisor 的服務連結角色AWSServiceRoleForTrustedAdvisor。如需詳細資訊,請參閱「IAM 使用者指南」中的刪除服務連結角色