Cómo utilizar roles vinculados a servicios de Trusted Advisor - AWS Support
Permisos de roles vinculados a servicios de Trusted AdvisorAdministración de permisos de roles vinculados a serviciosCreación de un rol vinculado a un servicio de Trusted AdvisorModificación de un rol vinculado a servicios de Trusted AdvisorEliminación de un rol vinculado a un servicio de Trusted Advisor

Cómo utilizar roles vinculados a servicios de Trusted Advisor

AWS Trusted Advisor utiliza roles vinculados a servicios de AWS Identity and Access Management (IAM). Un rol vinculado a servicio es un tipo único de rol de IAM que está vinculado directamente a AWS Trusted Advisor. Los roles vinculados a servicios están predefinidos por Trusted Advisor e incluyen todos los permisos que el servicio requiere para llamar a otros servicios de AWS en su nombre. Trusted Advisor utiliza este rol para verificar su uso en AWS y proporcionar recomendaciones para mejorar el entorno de AWS. Por ejemplo, Trusted Advisor analiza el uso que hace de la instancia de Amazon Elastic Compute Cloud (Amazon EC2) para ayudarle a reducir costos, mejorar el rendimiento y la tolerancia a errores y mejorar la seguridad.

nota

AWS Support utiliza un rol vinculado a servicio de IAM independiente para tener acceso a los recursos de la cuenta con el fin de proporcionar servicios administrativos, de facturación y de soporte. Para obtener más información, consulte Cómo utilizar roles vinculados a servicios de AWS Support.

Para obtener más información sobre otros servicios que admiten los roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM. Busque los servicios para los que se indique en la columna Roles vinculados a servicios. Seleccione una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Permisos de roles vinculados a servicios de Trusted Advisor

Trusted Advisor usa dos roles vinculados a servicios de:

  • AWSServiceRoleForTrustedAdvisor: este rol confía en el servicio de Trusted Advisor para asumir el rol de acceso a servicios de AWS en su nombre. La política de permisos de rol permite el acceso de solo lectura de Trusted Advisor a todos los recursos de AWS. Este rol simplifica el uso inicial de una cuenta de AWS, ya que no es necesario añadir los permisos necesarios para Trusted Advisor. Cuando abre una cuenta de AWS, Trusted Advisor crea este rol por usted. Los permisos definidos incluyen la política de confianza y la política de permisos. No se puede adjuntar la política de permisos a ninguna otra entidad de IAM.

    Para obtener más información sobre la política adjunta, consulte AWSTrustedAdvisorServiceRolePolicy.

  • AWSServiceRoleForTrustedAdvisorReporting: este rol confía en el servicio de Trusted Advisor para asumir el rol de la característica de vista organizativa. Este rol habilita Trusted Advisor como un servicio de confianza en su organización de AWS Organizations. Trusted Advisor crea este rol automáticamente cuando se habilita la vista organizativa.

    Para obtener más información sobre la política adjunta, consulte AWSTrustedAdvisorReportingServiceRolePolicy.

    Puede utilizar la vista organizativa para crear informes de los resultados de Trusted Advisor de todas las cuentas de su organización. Para obtener más información acerca de esta característica, consulte Vista organizativa para AWS Trusted Advisor.

Administración de permisos de roles vinculados a servicios

Debe configurar permisos para permitir a una entidad de IAM (como un usuario, grupo o rol) crear, editar o eliminar un rol vinculado a servicios. En los siguientes ejemplos, se utiliza el rol vinculado a servicio de AWSServiceRoleForTrustedAdvisor.

ejemplo : permitir que una entidad de IAM cree el rol vinculado a servicio de AWSServiceRoleForTrustedAdvisor

Este paso solo es necesario si la cuenta de Trusted Advisor está desactivada, el rol vinculado a servicio se elimina y el usuario debe volver a crear el rol para volver a habilitar Trusted Advisor.

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM para crear el rol vinculado al servicio.

{
    "Effect": "Allow",
    "Action": [
        "iam:CreateServiceLinkedRole",
        "iam:PutRolePolicy"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
ejemplo : permitir a una entidad de IAM editar la descripción del rol vinculado a servicio AWSServiceRoleForTrustedAdvisor

Solo puede editar la descripción para el rol de AWSServiceRoleForTrustedAdvisor. Puede agregar la siguiente instrucción a la política de permisos de la entidad de IAM para editar la descripción del rol vinculado al servicio.

{
    "Effect": "Allow",
    "Action": [
        "iam:UpdateRoleDescription"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}
ejemplo : permitir a una entidad de IAM eliminar el rol vinculado a servicio de AWSServiceRoleForTrustedAdvisor

Puede agregar la siguiente instrucción a la política de permisos de la entidad de IAM para eliminar el rol vinculado al servicio.

{
    "Effect": "Allow",
    "Action": [
        "iam:DeleteServiceLinkedRole",
        "iam:GetServiceLinkedRoleDeletionStatus"
    ],
    "Resource": "arn:aws:iam::*:role/aws-service-role/trustedadvisor.amazonaws.com/AWSServiceRoleForTrustedAdvisor*",
    "Condition": {"StringLike": {"iam:AWSServiceName": "trustedadvisor.amazonaws.com"}}
}

Puede usar una política administrada de AWS, como AdministratorAccess para proporcionar acceso completo a Trusted Advisor.

Creación de un rol vinculado a un servicio de Trusted Advisor

No necesita crear manualmente el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor. Al abrir una cuenta de AWS, Trusted Advisor crea automáticamente el rol vinculado al servicio.

importante

Si utilizaba el servicio Trusted Advisor antes de que comenzara a admitir los roles vinculados a servicios, entonces Trusted Advisor ya había creado el rol AWSServiceRoleForTrustedAdvisor en su cuenta. Para obtener más información, consulte Un nuevo rol ha aparecido en mi cuenta de IAM en la Guía del usuario de IAM.

Si su cuenta no tiene el rol vinculado a servicio AWSServiceRoleForTrustedAdvisor, Trusted Advisor no funcionará según lo previsto. Esto podría ocurrir si alguien desactivara Trusted Advisor en su cuenta y, a continuación, eliminara el rol vinculado al servicio. En este caso, puede utilizar IAM para crear el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor y, a continuación, habilitar de nuevo Trusted Advisor.

Para habilitar Trusted Advisor (consola)

  1. Utilice la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado al servicio para Trusted Advisor. Para obtener más información, consulte Crear un rol vinculado al servicio.

  2. Inicie sesión en la Consola de administración de AWS y, a continuación, vaya a la consola de Trusted Advisor en https://console.aws.amazon.com/trustedadvisor.

    El banner de estado Trusted Advisor desactivado aparecerá en la consola.

  3. Elija Enable Trusted Advisor Role (Habilitar rol) en el banner de estado. Si no se detecta el AWSServiceRoleForTrustedAdvisor necesario, el banner de estado permanece desactivado.

Modificación de un rol vinculado a servicios de Trusted Advisor

Dado que varias entidades pueden hacer referencia al rol vinculado al servicio, no puede cambiar su nombre después de crearlo. Sin embargo, puede utilizar la consola de IAM, AWS CLI o la API de IAM Para editar la descripción del rol. Para obtener más información, consulte Editar un rol vinculado a servicios en la Guía del usuario de IAM.

Eliminación de un rol vinculado a un servicio de Trusted Advisor

Si no tiene que utilizar ninguna característica ni servicio de Trusted Advisor, puede eliminar el rol AWSServiceRoleForTrustedAdvisor. Debe desactivar Trusted Advisor para poder eliminar este rol vinculado al servicio. Esto impide que se eliminen los permisos necesarios para las operaciones de Trusted Advisor. Cuando se desactiva Trusted Advisor, se desactivan todas las características del servicio, incluido el procesamiento sin conexión y las notificaciones. Además, si desactiva Trusted Advisor para una cuenta de miembro, la otra cuenta que efectúa los pagos también se ve afectada, lo que significa que no recibirá verificaciones de Trusted Advisor que identifican formas de ahorrar costos. No puede obtener acceso a la consola de Trusted Advisor. Las llamadas de la API a Trusted Advisor devuelven un error de acceso denegado.

Debe volver a crear el rol vinculado al servicio de AWSServiceRoleForTrustedAdvisor en la cuenta para que pueda volver a habilitar Trusted Advisor.

Primero debe desactivar Trusted Advisor en la consola para poder eliminar el rol vinculado al servicio AWSServiceRoleForTrustedAdvisor.

Para desactivar Trusted Advisor

  1. Inicie sesión en Consola de administración de AWS y, a continuación, vaya a la consola de Trusted Advisor en https://console.aws.amazon.com/trustedadvisor.

  2. En el panel de navegación, elija Preferences (Preferencias).

  3. En la sección Service Linked Role Permissions (Permisos de roles vinculados a servicios), elija Disable (Desactivar) Trusted Advisor.

  4. En el cuadro de diálogo de confirmación, elija OK (Aceptar) para confirmar que desea desactivar Trusted Advisor.

Tras desactivar Trusted Advisor, se desactivan todas las funcionalidades de Trusted Advisor, y la consola de Trusted Advisor muestra únicamente el banner de estado desactivado.

A continuación, puede utilizar la consola de IAM, la AWS CLI o la API de IAM para eliminar el rol vinculado al servicio de Trusted Advisor denominado AWSServiceRoleForTrustedAdvisor. Para obtener más información, consulte Eliminación de un rol vinculado a servicios en la Guía del usuario de IAM.