使用 Trusted Advisor的服務連結角色 - AWS Support
Trusted Advisor的服務連結角色許可管理服務連結角色的許可為 Trusted Advisor建立服務連結角色為 Trusted Advisor編輯服務連結角色為 Trusted Advisor刪除服務連結角色

本文為英文版的機器翻譯版本,如內容有任何歧義或不一致之處,概以英文版為準。

使用 Trusted Advisor的服務連結角色

AWS Trusted Advisor 使用 AWS Identity and Access Management (IAM) 服務連結角色。服務連結角色是直接連結到 AWS Trusted Advisor的唯一 IAM 角色。服務連結角色由預先定義 Trusted Advisor,包括服務代表您呼叫其他 AWS 服務所需的所有權限。 Trusted Advisor 使用此角色來檢查您的使用情況, AWS 並提供改善 AWS 環境的建議。例如, Trusted Advisor 分析 Amazon Elastic Compute Cloud (Amazon EC2) 執行個體的使用情況,以協助您降低成本、提高效能、容忍故障並改善安全性。

注意

AWS Support 使用個別的 IAM 服務連結角色來存取帳戶的資源,以提供帳單、管理和支援服務。如需詳細資訊,請參閱 使用 AWS Support的服務連結角色

關於支援服務連結角色的其他服務,如需相關資訊,請參閱搭配 IAM 使用的AWS 服務。尋找服務連結角色欄中顯示 Yes (是) 的服務。選擇具有連結的,以檢視該服務的服務連結角色文件。

Trusted Advisor的服務連結角色許可

Trusted Advisor 使用兩個服務連結角色:

  • AWSServiceRoleForTrustedAdvisor— 此角色信任 Trusted Advisor 服務會擔任代表您存取 AWS 服務的角色。角色權限原則允許所有 AWS 資源的 Trusted Advisor 唯讀存取。此角色可簡化您 AWS 帳戶的入門程序,因為您不需要新增必要的權限 Trusted Advisor。當您開設 AWS 帳戶時,請為您 Trusted Advisor 創建此角色。已定義的許可包括信任政策和許可政策。許可政策無法連接到其他任何 IAM 實體。

    如需有關附加原則的詳細資訊,請參閱AWSTrustedAdvisorServiceRolePolicy

  • AWSServiceRoleForTrustedAdvisorReporting - 這個角色信任 Trusted Advisor 服務擔任使用組織檢視功能的角色。此角色可在 AWS Organizations 組織中啟用 Trusted Advisor 為受信任的服務。 Trusted Advisor 當您啟用組織檢視時,會為您建立此角色。

    如需有關連接政策的詳細資訊,請參閱 AWSTrustedAdvisorReportingServiceRolePolicy

    您可以使用組織檢視來建立組織中所有帳戶的 Trusted Advisor 檢查結果報告。如需使用此功能的詳細資訊,請參閱「AWS Trusted Advisor 的組織檢視」。

管理服務連結角色的許可

您必須設定許可,IAM 實體 (如使用者、群組或角色) 才可建立、編輯或刪除服務連結角色。下列範例使用 AWSServiceRoleForTrustedAdvisor 服務連結角色。

範例 :允取 IAM 實體建立 AWSServiceRoleForTrustedAdvisor 服務連結角色

只有在 Trusted Advisor 帳戶已停用、刪除服務連結角色,且使用者必須重新建立角色才能重 Trusted Advisor新啟用時,才需要執行此步驟。

您可將下列陳述式新增至 IAM 實體建立服務連結角色所需的許可政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
範例 :允取 IAM 實體編輯 AWSServiceRoleForTrustedAdvisor 服務連結角色的描述

您只能編輯 AWSServiceRoleForTrustedAdvisor 角色的描述。您可將下列陳述式新增至 IAM 實體編輯服務連結角色描述所需的許可政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
範例 :允取 IAM 實體刪除 AWSServiceRoleForTrustedAdvisor 服務連結角色

您可將下列陳述式新增至 IAM 實體刪除服務連結角色所需的許可政策。

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

您也可以使用 AWS 受管理的策略,例如 AdministratorAccess,提供對的完整存取權 Trusted Advisor。

為 Trusted Advisor建立服務連結角色

您不需要手動建立 AWSServiceRoleForTrustedAdvisor 服務連結角色。當您開設 AWS 帳戶時, Trusted Advisor 會為您建立服務連結角色。

重要

如果您在開始支援 Trusted Advisor 服務連結角色之前使用服務,則 Trusted Advisor 已在您的帳戶中建立該AWSServiceRoleForTrustedAdvisor角色。若要進一步了解,請參閱 IAM 使用者指南中的我的 IAM 帳戶中出現新角色

如果您的帳戶沒有 AWSServiceRoleForTrustedAdvisor 服務連結角色, Trusted Advisor 將無法如預期運作。若您帳戶中的某個人停用 Trusted Advisor ,然後刪除服務連結角色,可能會發生此情形。在這種情況下,您可以使用 IAM 來建立 AWSServiceRoleForTrustedAdvisor 服務連結角色,然後重新啟用 Trusted Advisor。

啟用 Trusted Advisor (控制台)

  1. 使用 IAM 主控 AWS CLI台或 IAM API 為 Trusted Advisor其建立服務連結角色。如需詳細資訊,請參閱建立服務連結角色

  2. 登入 AWS Management Console,然後瀏覽至的主 Trusted Advisor 控台https://console.aws.amazon.com/trustedadvisor

    Disabled Trusted Advisor (已停用 Trusted Advisor) 狀態橫幅會顯示於主控台中。

  3. 從狀態標題中選擇「啟用 Trusted Advisor 角色」。如果未偵測到必要的 AWSServiceRoleForTrustedAdvisor,將持續顯示停用狀態橫幅。

為 Trusted Advisor編輯服務連結角色

因為各種實體可能會參考角色,所以您無法變更服務連結角色的名稱。不過,您可以使用 IAM 主控台或 IAM API 編輯角色的說明。 AWS CLI如需詳細資訊,請參閱《IAM 使用者指南》中的編輯服務連結角色

為 Trusted Advisor刪除服務連結角色

如果您不需要使用的功能或服務 Trusted Advisor,則可以刪除AWSServiceRoleForTrustedAdvisor角色。您必須 Trusted Advisor 先停用,才能刪除此服務連結角色。這可防止您移除 Trusted Advisor 操作所需的許可。停用時 Trusted Advisor,您會停用所有服務功能,包括離線處理和通知。此外,如果您停 Trusted Advisor 用某個成員帳戶,則個別付款人帳戶也會受到影響,這表示您不會收到可識別節省成本的方法的支 Trusted Advisor 票。您無法存取 Trusted Advisor 主控台。API 呼叫以 Trusted Advisor 傳回拒絕存取錯誤。

您必須重新建立 AWSServiceRoleForTrustedAdvisor 服務連結角色,才能重新啟用 Trusted Advisor。

您必須先在主控台 Trusted Advisor 中停用,才能刪除AWSServiceRoleForTrustedAdvisor服務連結角色。

若要停用 Trusted Advisor

  1. 登入 AWS Management Console 並瀏覽至 Trusted Advisor 主控台,位於https://console.aws.amazon.com/trustedadvisor

  2. 在導覽窗格中,選擇偏好設定

  3. Service Linked Role Permissions (服務連結角色許可) 區段中,選擇 Disable Trusted Advisor(停用 &SERVICENAME;)

  4. 在確認對話方塊中,選擇 OK (確定),確認您要停用 Trusted Advisor。

停用之後 Trusted Advisor,所有 Trusted Advisor 功能都會停用,且 Trusted Advisor 主控台只會顯示停用狀態標題。

然後,您可以使用 IAM 主控 AWS CLI台或 IAM API 刪除名為AWSServiceRoleForTrustedAdvisor的 Trusted Advisor 服務連結角色。如需詳細資訊,請參閱《IAM 使用者指南》中的刪除服務連結角色