AWS Compute Optimizer e AWS Organizations - AWS Organizations

AWS Compute Optimizer e AWS Organizations

O AWS Compute Optimizer é um serviço que analisa as métricas de configuração e utilização dos seus recursos da AWS. Exemplos de recursos incluem instâncias do Amazon Elastic Compute Cloud (Amazon EC2) e dos grupos do Auto Scaling. O Compute Optimizer informa se seus recursos estão em condições ideais e gera recomendações de otimização para reduzir o custo e melhorar a performance de suas cargas de trabalho. Para obter mais informações sobre o Compute Optimizer, consulte o AWS Compute OptimizerGuia do usuário do .

Use as informações a seguir para ajudá-lo a integrar o AWS Compute Optimizer ao AWS Organizations.

Funções vinculadas ao serviço, criadas quando você habilitou a integração

A função vinculada ao serviço a seguir é criada automaticamente na conta de gerenciamento de sua organização quando você habilita o acesso confiável. Essa função permite que o Compute Optimizer realize as operações suportadas nas contas de sua organização.

Você só pode excluir ou modificar essa função se desabilitar o acesso confiável entre o Compute Optimizer e o Organizations, ou se você remover a conta-membro da organização.

  • AWSServiceRoleForComputeOptimizer

Entidades de serviço primárias usadas pelas funções vinculadas ao serviço

A função vinculada ao serviço na seção anterior pode ser assumida apenas pelas entidades de serviço primárias autorizadas pelas relações de confiança definidas para a função. As funções vinculadas ao serviço usadas pelo Compute Optimizer concedem acesso às seguintes entidades de serviço primárias:

  • compute-optimizer.amazonaws.com

Habilitar o acesso confiável no Compute Optimizer

Para obter informações sobre as permissões necessárias para habilitar acesso confiável, consulte Permissões necessárias para habilitar o acesso confiável.

Você pode habilitar o acesso confiável usando o console do AWS Compute Optimizer ou o console do AWS Organizations.

Importante

É altamente recomendável, sempre que possível, o uso do console ou das ferramentas do AWS Compute Optimizer para habilitar a integração com o Organizations. Isso permite que o AWS Compute Optimizer execute qualquer configuração exigida, como a criação dos recursos necessários para o serviço. Continue com estas etapas apenas se você não puder habilitar a integração usando as ferramentas fornecidas pelo AWS Compute Optimizer. Para obter mais informações, consulte esta nota.

Se você habilitar o acesso confiável usando o console ou as ferramentas do AWS Compute Optimizer, não é necessário concluir estas etapas.

Para habilitar o acesso confiável usando o console do Compute Optimizer

Você deve fazer login no console do Compute Optimizer usando a conta de gerenciamento de sua organização. Aceite a inclusão em nome de sua organização seguindo as instruções em Inclusão da sua conta no Guia do usuário do AWS Compute Optimizer.

Você pode habilitar o acesso confiável usando o console do AWS Organizations, executando um comando da AWS CLI ou chamando uma operação da API em um dos AWS SDKs.

AWS Management Console

Para habilitar o acesso ao serviço confiável usando o console do Organizations

  1. Faça login no console do AWS Organizations. Você deve fazer login como um usuário do IAM, assumir uma função do IAM ou fazer login como usuário-raiz (não recomendado) na conta de gerenciamento da organização.

  2. Na página Services (Serviços), localize a linha para o AWS Compute Optimizer, escolha o nome do serviço e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  3. Na caixa de diálogo de confirmação, habilite Show the option to enable trusted access (Mostrar a opção para habilitar acesso confiável), insira enable na caixa e, em seguida, escolha Enable trusted access (Habilitar acesso confiável).

  4. Se você for o administrador apenas do AWS Organizations, informe ao administrador do AWS Compute Optimizer que agora ele pode habilitar esse serviço usando seu console para trabalhar com o AWS Organizations.

AWS CLI, AWS API

Para habilitar o acesso ao serviço confiável usando a CLI/SDK do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para habilitar o acesso ao serviço confiável:

  • AWS CLI: enable-aws-service-access

    Você pode executar o comando a seguir para habilitar o AWS Compute Optimizer como um serviço confiável com o Organizations.

    $ aws organizations enable-aws-service-access \ --service-principal compute-optimizer.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: EnableAWSServiceAccess

Desabilitar o acesso confiável no Compute Optimizer

Para obter informações sobre as permissões necessárias para desabilitar acesso confiável, consulte Permissões necessárias para desabilitar o acesso confiável.

Apenas um administrador na conta de gerenciamento do AWS Organizations pode desabilitar acesso confiável com o AWS Compute Optimizer.

Você pode desabilitar o acesso confiável executando um comando da AWS CLI do Organizations, ou chamando uma operação da API do Organizations em um dos AWS SDKs.

AWS CLI, AWS API

Para desabilitar o acesso confiável usando a CLI/SKD do Organizations

Você pode usar os comandos da AWS CLI ou as operações da API a seguir para desabilitar o acesso ao serviço confiável:

  • AWS CLI: disable-aws-service-access

    Você pode executar o comando a seguir para desabilitar o AWS Compute Optimizer como um serviço confiável com o Organizations.

    $ aws organizations disable-aws-service-access \ --service-principal compute-optimizer.amazonaws.com

    Esse comando não gera nenhuma saída quando é bem-sucedido.

  • AWS API: DisableAWSServiceAccess

Habilitar uma conta de administrador delegado para o Compute Optimizer

Quando você designa uma conta-membro como administrador delegado da organização, os usuários e as funções da conta designada podem gerenciar os metadados da Conta da AWS de outras contas-membro na organização. Se você não habilitar uma conta de administrador delegado, essas tarefas só poderão ser executadas pela conta de gerenciamento da organização. Isso ajuda você a separar o gerenciamento da organização do gerenciamento de detalhes da sua conta.

Permissões mínimas

Somente um usuário ou perfil do IAM na conta de gerenciamento do Organizations pode configurar uma conta-membro como administrador delegado do Compute Optimizer na organização.

Para obter instruções sobre como habilitar uma conta de administrador delegado para o Compute Optimizer, consulte https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html no Guia do usuário do AWS Compute Optimizer.

AWS CLI, AWS API

Se você quiser configurar uma conta de administrador delegado usando a AWS CLI ou um dos AWS SDKs, poderá usar os seguintes comandos:

  • AWS CLI:

    $ aws organizations register-delegated-administrator \ --account-id 123456789012 \ --service-principal compute-optimizer.amazonaws.com
  • AWS SDK: chame a operação RegisterDelegatedAdministrator do Organizations e o número de ID da conta-membro e identifique o serviço de conta principal account.amazonaws.com como parâmetros.

Desabilitar uma conta de administrador delegado para o Compute Optimizer

Somente um administrador na conta de gerenciamento da organização pode configurar um administrador delegado para o Compute Optimizer.

Para desabilitar a conta de administrador delegado do Compute Optimizer usando o console do Compute Optimizer, consulte https://docs.aws.amazon.com/compute-optimizer/latest/ug/delegate-administrator-account.html no Guia do usuário do AWS Compute Optimizer.

Para remover um administrador delegado usando a AWS AWS CLI, consulte deregister-delegated-administrator na Referência de comandos da AWS AWS CLI.