Verwenden von serviceverknüpften Rollen für AWS Compute Optimizer - AWS Compute Optimizer
Dienstbezogene Rollenberechtigungen für Compute OptimizerBerechtigungen von serviceverknüpften RollenEine serviceverknüpfte Rolle für Compute Optimizer erstellenEine serviceverknüpfte Rolle für Compute Optimizer bearbeitenLöschen einer serviceverknüpften Rolle für Compute OptimizerUnterstützte Regionen für dienstverknüpfte Compute Optimizer Optimizer-Rollen

Die vorliegende Übersetzung wurde maschinell erstellt. Im Falle eines Konflikts oder eines Widerspruchs zwischen dieser übersetzten Fassung und der englischen Fassung (einschließlich infolge von Verzögerungen bei der Übersetzung) ist die englische Fassung maßgeblich.

Verwenden von serviceverknüpften Rollen für AWS Compute Optimizer

AWS Compute Optimizer verwendet AWS Identity and Access Management (IAM) serviceverknüpfte Rollen. Eine serviceverknüpfte Rolle ist eine einzigartige Art von IAM-Rolle, die direkt mit Compute Optimizer verknüpft ist. Dienstbezogene Rollen sind von Compute Optimizer vordefiniert und beinhalten alle Berechtigungen, die der Dienst benötigt, um andere in Ihrem Namen aufzurufen.

Bei einer serviceverknüpften Rolle müssen für die Einrichtung von Compute Optimizer die erforderlichen Berechtigungen nicht manuell hinzugefügt werden. Compute Optimizer definiert die Berechtigungen seiner dienstbezogenen Rollen, und sofern nicht anders definiert, kann nur Compute Optimizer seine Rollen übernehmen. Die definierten Berechtigungen umfassen die Vertrauens- und Berechtigungsrichtlinie. Diese Berechtigungsrichtlinie kann keinen anderen IAM-Entitäten zugewiesen werden.

Informationen zu anderen Diensten, die dienstbezogene Rollen unterstützen, finden Sie unter AWS Dienste, die mit IAM funktionieren. Suchen Sie dort nach den Diensten, für die in der Spalte Rolle Ja steht. Wählen Sie über einen Link Ja aus, um die Dokumentation zu einer serviceverknüpften Rolle für diesen Service anzuzeigen.

Dienstbezogene Rollenberechtigungen für Compute Optimizer

Compute Optimizer verwendet die benannte serviceverknüpfte Rolle, AWSServiceRoleForComputeOptimizerum auf CloudWatch Amazon-Metriken für AWS Ressourcen im Konto zuzugreifen.

Die AWSServiceRoleForComputeOptimizer serviceverknüpfte Rolle vertraut darauf, dass die folgenden Dienste die Rolle übernehmen:

  • compute-optimizer.amazonaws.com

Die Richtlinie für Rollenberechtigungen ermöglicht Compute Optimizer, die folgenden Aktionen für die angegebenen Ressourcen durchzuführen:

  • Aktion: cloudwatch:GetMetricData für alle AWS Ressourcen.

  • Aktion: organizations:DescribeOrganization für alle AWS Ressourcen.

  • Aktion: organizations:ListAccounts für alle AWS Ressourcen.

  • Aktion: organizations:ListAWSServiceAccessForOrganization auf alle AWS -Ressourcen.

  • Aktion: organizations:ListDelegatedAdministrators auf alle AWS -Ressourcen.

Berechtigungen von serviceverknüpften Rollen

Um eine dienstverknüpfte Rolle für Compute Optimizer zu erstellen, konfigurieren Sie Berechtigungen, sodass eine IAM-Entität (z. B. ein Benutzer, eine Gruppe oder eine Rolle) die dienstverknüpfte Rolle erstellen kann. Weitere Informationen finden Sie unter serviceverknüpfte Rollenberechtigungen im IAM-Benutzerhandbuch.

Um einer IAM-Entität zu ermöglichen, eine bestimmte serviceverknüpfte Rolle für Compute Optimizer zu erstellen

Fügen Sie die folgende Richtlinie der IAM-Entität hinzu, um die serviceverknüpfte Rolle zu erstellen.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

So erlauben Sie einer IAM-Entität das Erstellen einer beliebigen serviceverknüpften Rolle

Fügen Sie die folgende Anweisung der Berechtigungsrichtlinie für die IAM-Entität hinzu, um eine serviceverknüpfte Rolle oder eine beliebige Servicerolle zu erstellen, die die benötigten Richtlinien enthält. Diese Richtlinie fügt eine Richtlinie an die Rolle an.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Eine serviceverknüpfte Rolle für Compute Optimizer erstellen

Sie müssen eine serviceverknüpfte Rolle nicht manuell erstellen. Wenn Sie sich für den Compute Optimizer-Dienst in der AWS Management Console, der oder der AWS API entscheiden AWS CLI, erstellt Compute Optimizer die dienstverknüpfte Rolle für Sie.

Wichtig

Wenn Sie eine Aktion in einem anderen Service abgeschlossen haben, der die Funktionen verwendet, die von der serviceverknüpften Rolle unterstützt werden, kann die Rolle in Ihrem Konto erscheinen. Weitere Informationen finden Sie unter In meinem IAM-Konto wird eine neue Rolle angezeigt.

Wenn Sie diese serviceverknüpfte Rolle löschen und sie dann erneut erstellen müssen, können Sie dasselbe Verfahren anwenden, um die Rolle in Ihrem Konto neu anzulegen. Wenn Sie sich für den Compute Optimizer-Dienst anmelden, erstellt Compute Optimizer die dienstverknüpfte Rolle erneut für Sie.

Eine serviceverknüpfte Rolle für Compute Optimizer bearbeiten

Compute Optimizer erlaubt es Ihnen nicht, die AWSServiceRoleForComputeOptimizer serviceverknüpfte Rolle zu bearbeiten. Da möglicherweise verschiedene Entitäten auf die Rolle verweisen, kann der Rollenname nach der Erstellung einer serviceverknüpften Rolle nicht bearbeitet werden. Sie können jedoch die Beschreibung der Rolle mit IAM bearbeiten. Weitere Informationen finden Sie unter Bearbeiten einer serviceverknüpften Rolle im IAM-Benutzerhandbuch.

Löschen einer serviceverknüpften Rolle für Compute Optimizer

Wir empfehlen, die AWSServiceRoleForComputeOptimizer dienstverknüpfte Rolle zu löschen, wenn Sie Compute Optimizer nicht mehr verwenden müssen. Auf diese Weise verfügen Sie nicht über eine ungenutzte Entität, die nicht aktiv überwacht oder verwaltet wird. Bevor Sie die serviceverknüpfte Rolle jedoch manuell löschen können, müssen Sie Compute Optimizer deaktivieren.

Um Compute Optimizer zu deaktivieren

Informationen zur Deaktivierung von Compute Optimizer finden Sie unter. Abmeldung von Ihrem Konto

So löschen Sie die serviceverknüpfte Rolle mit IAM

Verwenden Sie die IAM-Konsole, die oder die AWS API AWS CLI, um die serviceverknüpfte Rolle zu löschen. AWSServiceRoleForComputeOptimizer Weitere Informationen finden Sie unter Löschen einer serviceverknüpften Rolle im IAM-Leitfaden.

Unterstützte Regionen für dienstverknüpfte Compute Optimizer Optimizer-Rollen

Compute Optimizer unterstützt die Verwendung von serviceverknüpften Rollen in allen Regionen, in denen der Service verfügbar ist. Informationen zu den aktuell unterstützten Endpunkten AWS-Regionen und Endpunkten für Compute Optimizer finden Sie unter Compute Optimizer Optimizer-Endpunkte und Kontingente in der allgemeinen Referenz.AWS