Utilizzo di ruoli collegati ai servizi per Trusted Advisor

AWS Trusted Advisor utilizza il ruolo collegato al servizio AWS Identity and Access Management (IAM). Un ruolo collegato al servizio è un IAM ruolo unico a cui è collegato direttamente. AWS Trusted Advisor I ruoli collegati ai servizi sono predefiniti da Trusted Advisor e includono tutte le autorizzazioni richieste dal servizio per chiamare altri servizi per conto dell'utente. AWS Trusted Advisor utilizza questo ruolo per verificare l'utilizzo da parte dell'utente AWS e fornire consigli per migliorare l'ambiente. AWS Ad esempio, Trusted Advisor analizza l'utilizzo dell'istanza Amazon Elastic Compute Cloud EC2 (Amazon) per aiutarti a ridurre i costi, aumentare le prestazioni, tollerare i guasti e migliorare la sicurezza.

Nota

AWS Support utilizza un ruolo separato IAM collegato ai servizi per accedere alle risorse del tuo account per fornire servizi di fatturazione, amministrativi e supporto. Per ulteriori informazioni, consulta Utilizzo di ruoli collegati ai servizi per AWS Support.

Per informazioni su altri servizi che supportano i ruoli collegati ai servizi, consulta AWS Servizi compatibili con. IAM Cerca i servizi che hanno Sì nella colonna Ruolo collegato ai servizi. Scegli Sì in corrispondenza di un link per visualizzare la documentazione relativa al ruolo collegato ai servizi per tale servizio.

Autorizzazioni del ruolo collegato ai servizi per Trusted Advisor

Trusted Advisor utilizza due ruoli collegati ai servizi:

• AWSServiceRoleForTrustedAdvisor— Questo ruolo prevede che il Trusted Advisor servizio assuma il ruolo di accedere ai AWS servizi per conto dell'utente. La politica di autorizzazione dei ruoli consente l'accesso in Trusted Advisor sola lettura a tutte le risorse. AWS Questo ruolo semplifica l'avvio AWS dell'account, in quanto non è necessario aggiungere le autorizzazioni necessarie per. Trusted Advisor Quando apri un AWS account, Trusted Advisor crea questo ruolo per te. Le autorizzazioni definite includono policy di attendibilità e di autorizzazioni. Non puoi allegare la politica delle autorizzazioni a nessun'altra IAM entità.

  Per ulteriori informazioni sulla politica allegata, consulta AWSTrustedAdvisorServiceRolePolicy.

• AWSServiceRoleForTrustedAdvisorReporting: Questo ruolo consente al servizio Trusted Advisor di assumere il ruolo per la funzionalità di visualizzazione dell'organizzazione. Questo ruolo Trusted Advisor funge da servizio affidabile all'interno AWS Organizations dell'organizzazione. Trusted Advisor crea questo ruolo per te quando abiliti la visualizzazione organizzativa.

  Per ulteriori informazioni sulla policy attribuita, consulta la sezione AWSTrustedAdvisorReportingServiceRolePolicy.

  È possibile utilizzare la visualizzazione organizzativa per creare report per Trusted Advisor controllare i risultati di tutti gli account dell'organizzazione. Per ulteriori informazioni sull'utilizzo di questa caratteristica, consulta Visualizzazione organizzativa per AWS Trusted Advisor.

Gestione dei permessi per ruoli collegati ai servizi

È necessario configurare le autorizzazioni per consentire a un'IAMentità (come un utente, un gruppo o un ruolo) di creare, modificare o eliminare un ruolo collegato al servizio. Gli esempi seguenti utilizzano il ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor.

Esempio : consente a un'IAMentità di creare il ruolo collegato al servizio AWSServiceRoleForTrustedAdvisor

Questo passaggio è necessario solo se l' Trusted Advisor account è disabilitato, il ruolo collegato al servizio viene eliminato e l'utente deve ricreare il ruolo per riattivarlo. Trusted Advisor

È possibile aggiungere la seguente dichiarazione alla politica di autorizzazione dell'IAMentità per creare il ruolo collegato al servizio.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

Esempio : consente a un'IAMentità di modificare la descrizione del ruolo collegato al servizio AWSServiceRoleForTrustedAdvisor

Puoi modificare solo la descrizione per ruolo AWSServiceRoleForTrustedAdvisor. È possibile aggiungere la seguente dichiarazione alla politica di autorizzazione per consentire all'IAMentità di modificare la descrizione di un ruolo collegato al servizio.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

Esempio : consente a un'IAMentità di eliminare il ruolo collegato al servizio AWSServiceRoleForTrustedAdvisor

È possibile aggiungere la seguente dichiarazione alla politica di autorizzazione per consentire all'IAMentità di eliminare un ruolo collegato al servizio.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

Puoi anche utilizzare una politica AWS gestita, ad esempio per fornire l'AdministratorAccessaccesso completo a. Trusted Advisor

Creazione di un ruolo collegato ai servizi per Trusted Advisor

Non devi creare manualmente il ruolo collegato al servizio AWSServiceRoleForTrustedAdvisor. Quando apri un AWS account, Trusted Advisor crea automaticamente il ruolo collegato al servizio.

Importante

Se utilizzavi il Trusted Advisor servizio prima che iniziasse a supportare i ruoli collegati al servizio, allora hai Trusted Advisor già creato il AWSServiceRoleForTrustedAdvisor ruolo nel tuo account. Per ulteriori informazioni, consulta la sezione Un nuovo ruolo è apparso nel mio IAM account nella Guida per l'IAMutente.

Se l'account non ha un ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor collegato ai servizi, Trusted Advisor non funzionerà nel modo previsto. Questo potrebbe accadere se qualcuno nell'account ha disabilitato Trusted Advisor e ha eliminato il ruolo collegato ai servizi. In questo caso, puoi utilizzarlo IAM per creare il ruolo AWSServiceRoleForTrustedAdvisor collegato al servizio e quindi riabilitarlo. Trusted Advisor

Per abilitare Trusted Advisor (console)

1. Utilizza la IAM console o IAM API per creare un ruolo collegato al servizio per. AWS CLI Trusted Advisor Per ulteriori informazioni, consultare la pagina relativa alla creazione di un ruolo collegato ai servizi.

2. Accedi a AWS Management Console, quindi accedi alla Trusted Advisor console all'indirizzo. https://console.aws.amazon.com/trustedadvisor

   Nella console viene visualizzato il banner che indica lo stato Disabled Trusted Advisor (Truster Advisor disabilitato).

3. Scegli Abilita Trusted Advisor ruolo dal banner di stato. Se il AWSServiceRoleForTrustedAdvisor richiesto non viene rilevato, il banner di stato rimane disabilitato.

Modifica di un ruolo collegato ai servizi per Trusted Advisor

Dopo aver creato un ruolo collegato ai servizi, non è possibile modificarne il nome, perché potrebbero riferirvisi diverse entità. Tuttavia, puoi utilizzare la IAM console o IAM API modificare la descrizione del ruolo. AWS CLI Per ulteriori informazioni, consulta Modifica di un ruolo collegato al servizio nella Guida per l'IAMutente.

Eliminazione di un ruolo collegato ai servizi per Trusted Advisor

Se non è necessario utilizzare le funzionalità o i servizi di Trusted Advisor, è possibile eliminare il AWSServiceRoleForTrustedAdvisor ruolo. È necessario disattivarlo Trusted Advisor prima di poter eliminare questo ruolo collegato al servizio. Questo ti impedisce di rimuovere le autorizzazioni necessarie per eseguire le operazioni di Trusted Advisor . Quando si disattiva Trusted Advisor, si disattivano tutte le funzionalità del servizio, tra cui l'elaborazione e le notifiche offline. Inoltre, se disattivi Trusted Advisor un account membro, ne risentirà anche l'account di pagamento separato, il che significa che non riceverai Trusted Advisor assegni che identificano i modi per risparmiare sui costi. Non è possibile accedere alla console Trusted Advisor . APIchiamate per Trusted Advisor restituire un errore di accesso negato.

È necessario ricreare il ruolo collegato ai servizi AWSServiceRoleForTrustedAdvisor collegato ai servizi nell'account prima di poter riabilitare Trusted Advisor.

È necessario innanzitutto disabilitarlo Trusted Advisor nella console prima di poter eliminare il ruolo AWSServiceRoleForTrustedAdvisor collegato al servizio.

Per disabilitare Trusted Advisor

1. Accedi a AWS Management Console e vai alla Trusted Advisor console all'indirizzohttps://console.aws.amazon.com/trustedadvisor.

2. Nel riquadro di navigazione, scegli Preferences (Preferenze).

3. Nella sezione Service Linked Role Permissions (Autorizzazioni del ruolo collegato ai servizi), selezionare Disable Trusted Advisor(Disabilita &SERVICENAME;).

4. Nella finestra di dialogo di conferma, clicca su OK per disabilitare Trusted Advisor.

Dopo la disattivazione Trusted Advisor, tutte le Trusted Advisor funzionalità vengono disattivate e la Trusted Advisor console visualizza solo il banner di stato di disabilitazione.

È quindi possibile utilizzare la IAM console AWS CLI, il o il IAM API per eliminare il ruolo Trusted Advisor collegato al servizio denominato. AWSServiceRoleForTrustedAdvisor Per ulteriori informazioni, vedere Eliminazione di un ruolo collegato al servizio nella Guida per l'utente. IAM