Funções vinculadas a serviços para exportações de dados - AWS Gestão de custos
Permissões de função vinculadas ao serviço para exportações de dadosCriando a função vinculada ao serviço Data ExportsEditando a função vinculada ao serviço Data ExportsExcluindo a função vinculada ao serviço Data ExportsRegiões suportadas para funções vinculadas ao serviço de exportação de dados

As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.

Funções vinculadas a serviços para exportações de dados

O Data Exports usa AWS funções vinculadas ao serviço Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente às exportações de dados. As funções vinculadas ao serviço são predefinidas pelo Data Exports e incluem todas as permissões que o serviço exige para chamar outros AWS serviços em seu nome.

Uma função vinculada ao serviço facilita a configuração das exportações de dados porque você não precisa adicionar manualmente as permissões necessárias. As exportações de dados definem as permissões de sua função vinculada ao serviço e, a menos que seja definido de outra forma, somente as exportações de dados podem assumir essa função. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.

Para obter informações sobre outros serviços compatíveis com funções vinculadas a serviços, consulte Serviços da AWS compatíveis com o IAM e procure serviços que tenham Sim na coluna função vinculada ao serviço. Escolha um Sim com um link para visualizar a documentação do perfil vinculado a esse serviço.

Permissões de função vinculadas ao serviço para exportações de dados

O Data Exports usa a função vinculada ao serviço chamadaAWSServiceRoleForBCMDataExports, que permite o acesso aos dados do AWS serviço para exportar os dados para um local de destino, como o Amazon S3, em nome do cliente. Essa função vinculada ao serviço é usada para ações somente de leitura para coletar a menor quantidade de dados de AWS serviço necessária. A função vinculada ao serviço é usada ao longo do tempo para garantir a segurança e continuar atualizando os dados de exportação no local de destino.

A função vinculada ao serviço AWSServiceRoleForBCMDataExports confia no serviço bcm-data-exports.amazonaws.com para presumir a função.

A política de permissões de função,AWSBCMDataExportsServiceRolePolicy, permite que as exportações de dados concluam as seguintes ações nos recursos especificados:

  • cost-optimization-hub:ListEnrollmentStatuses

  • cost-optimization-hub:ListRecommendation

Para obter mais informações, consulte Permite que exportações de dados acessem outros AWS serviços.

Para ver os detalhes completos das permissões da função vinculada ao serviçoAWSBCMDataExportsServiceRolePolicy, consulte o Guia AWSBCMDataExportsServiceRolePolicyde referência de políticas AWS gerenciadas.

Você deve configurar permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie, edite ou exclua uma função vinculada a serviço. Para obter mais informações, consulte Permissões de função vinculadas ao serviço no Guia do usuário do IAM.

Criando a função vinculada ao serviço Data Exports

Você não precisa criar manualmente a função vinculada ao serviço Data Exports. Na página do console Exportações de Dados, quando você tenta criar uma exportação de uma tabela que exige a função vinculada ao serviço, o serviço cria automaticamente a função para você.

Se excluir essa função vinculada ao serviço e precisar criá-la novamente, você poderá usar esse mesmo processo para recriar a função em sua conta.

Editando a função vinculada ao serviço Data Exports

Você não pode editar o nome ou as permissões da função AWSServiceRoleForBCMDataExports vinculada ao serviço porque várias entidades podem fazer referência à função. No entanto, será possível editar a descrição da função usando o IAM. Para obter mais informações, consulte Edição de uma função vinculada ao serviço no Guia do usuário do IAM.

Para permitir que uma entidade do IAM edite a descrição da função AWSServiceRoleForBCMDataExports vinculada ao serviço

Adicione a seguinte declaração a política de permissões da entidade do IAM para a qual precise editar a descrição de uma função vinculada ao serviço.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/bcm-data-exports.amazonaws.com/AWSServiceRoleForBCMDataExports",
    "Condition": {"StringLike": {"iam:AWSServiceName": "bcm-data-exports.amazonaws.com"}}
}

Excluindo a função vinculada ao serviço Data Exports

Se você não precisar mais usar Exportações de Dados, recomendamos que você exclua a função AWSServiceRoleForBCMDataExports vinculada ao serviço. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida. No entanto, antes de excluir manualmente a função vinculada ao serviço, você deve primeiro excluir todas as exportações de dados que exijam a função vinculada ao serviço.

Para excluir uma exportação

Para obter informações sobre como excluir uma exportação, consulte Edição e exclusão de exportações.

Como excluir manualmente a função vinculada a serviço usando o IAM

Use o console do IAM, a interface de linha de AWS comando (AWS CLI) ou a AWS API para excluir a função vinculada ao AWSServiceRoleForBCMDataExports serviço. Para mais informações, consulte Excluir um perfil vinculado ao serviço no Guia do usuário do IAM.

Regiões suportadas para funções vinculadas ao serviço de exportação de dados

As exportações de dados oferecem suporte ao uso de funções vinculadas a serviços em todas as AWS regiões em que as exportações de dados estão disponíveis. Para obter mais informações, consulte endpoints AWS de serviço.