Usando funções vinculadas a serviços para AWS Compute Optimizer - AWS Compute Optimizer
Permissões de função vinculadas ao serviço para o Compute OptimizerPermissões de perfil vinculado ao serviçoCriar uma função vinculada ao serviço para o Compute OptimizerEditar uma função vinculada ao serviço para o Compute OptimizerExcluir uma função vinculada ao serviço para o Compute OptimizerRegiões suportadas para funções vinculadas ao serviço do Compute Optimizer

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Usando funções vinculadas a serviços para AWS Compute Optimizer

AWS Compute Optimizer usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM que está vinculada diretamente ao Compute Optimizer. As funções vinculadas a serviços são predefinidas pelo Compute Optimizer e incluem todas as permissões que o serviço requer para chamar outros em seu nome.

Com uma função vinculada ao serviço, a configuração do Compute Optimizer não exige a adição manual das permissões necessárias. O Compute Optimizer define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Compute Optimizer pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, e essa política não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços que oferecem suporte a funções vinculadas a AWS serviços, consulte Serviços que funcionam com IAM e procure os serviços que têm Sim na coluna Função. Escolha um Sim com um link para visualizar a documentação da função vinculada a esse serviço.

Permissões de função vinculadas ao serviço para o Compute Optimizer

O Compute Optimizer usa a função vinculada ao serviço que é nomeada AWSServiceRoleForComputeOptimizerpara acessar as métricas AWS da CloudWatch Amazon para recursos na conta.

A função AWSServiceRoleForComputeOptimizer vinculada ao serviço confia nos seguintes serviços para assumir a função:

  • compute-optimizer.amazonaws.com

A política de permissões da função permite que o Compute Optimizer conclua as seguintes ações nos recursos especificados:

  • Ação: cloudwatch:GetMetricData em todos os AWS recursos.

  • Ação: organizations:DescribeOrganization em todos os AWS recursos.

  • Ação: organizations:ListAccounts em todos os AWS recursos.

  • Ação: organizations:ListAWSServiceAccessForOrganization em todos os recursos da AWS .

  • Ação: organizations:ListDelegatedAdministrators em todos os recursos da AWS .

Permissões de perfil vinculado ao serviço

Para criar uma função vinculada ao serviço para o Compute Optimizer, configure permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie uma função vinculada ao serviço. Para mais informações, consulte Permissões de perfil vinculado ao serviço no Guia do usuário do IAM.

Para permitir que uma entidade do IAM crie uma função vinculada ao serviço para o Compute Optimizer

Adicione a seguinte política à entidade do IAM que precisa criar a função vinculada ao serviço.

{
    "Version": "2012-10-17",
    "Statement": [
        {
            "Effect": "Allow",
            "Action": "iam:CreateServiceLinkedRole",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
            "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
        },
        {
            "Effect": "Allow",
            "Action": "iam:PutRolePolicy",
            "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
        },
        {
            "Effect": "Allow",
            "Action": "compute-optimizer:UpdateEnrollmentStatus",
            "Resource": "*"
        }
    ]
}

Para permitir que uma entidade do IAM crie qualquer função vinculada ao serviço

Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa criar uma função vinculada ao serviço ou qualquer função de serviço que inclua as políticas necessárias. Esta política anexa uma política à função.

{
    "Effect": "Allow",
    "Action": "iam:CreateServiceLinkedRole",
    "Resource": "arn:aws:iam::*:role/aws-service-role/*"
}

Criar uma função vinculada ao serviço para o Compute Optimizer

Não é necessário criar manualmente uma função vinculada ao serviço. Quando você opta pelo serviço Compute Optimizer na, na ou na API, AWS Management Console AWS CLI o Compute Optimizer AWS cria a função vinculada ao serviço para você.

Importante

Essa função vinculada ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com essa função. Para obter mais informações, consulte Uma novo perfil apareceu na minha conta do IAM.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta. Quando você aceita usar o serviço Compute Optimizer, ele cria a função vinculada ao serviço para você novamente.

Editar uma função vinculada ao serviço para o Compute Optimizer

O Compute Optimizer não permite que você edite AWSServiceRoleForComputeOptimizer a função vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Editar uma função vinculada a serviço no Guia do usuário do IAM.

Excluir uma função vinculada ao serviço para o Compute Optimizer

Recomendamos que, se você não precisar mais usar o Compute Optimizer, AWSServiceRoleForComputeOptimizer exclua a função vinculada ao serviço. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ou mantida ativamente. Porém, para poder excluir manualmente a função vinculada ao serviço, você deve remover o Compute Optimizer.

Para remover o Compute Optimizer

Para obter informações sobre como remover o Compute Optimizer, consulte Cancelar a opção na conta.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForComputeOptimizer vinculada ao serviço. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas ao serviço do Compute Optimizer

O Compute Optimizer oferece suporte a funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para ver as Regiões da AWS e os endpoints atualmente aceitos do Compute Optimizer, consulte Endpoints e cotas do Compute Optimizer na Referência geral da AWS .