Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
# Empezar con AWS Compute Optimizer
Cuando accedas a la AWS Compute Optimizer consola por primera vez, se te pedirá que optes por usar la cuenta con la que has iniciado sesión. Antes de utilizar el servicio, debe activarlo o desactivarlo. Además, también puedes activar o desactivar tu suscripción mediante la API Compute Optimizer, AWS Command Line Interface (AWS CLI) o. SDKs
Al registrarte, autorizas a Compute Optimizer a analizar las especificaciones y las métricas de uso de tus recursos. AWS Los ejemplos incluyen instancias de EC2 y grupos de Auto Scaling de EC2.
**nota**
Para mejorar la calidad de las recomendaciones de Compute Optimizer, Amazon Web Services podría usar tus CloudWatch métricas y datos de configuración. Esto incluye hasta tres meses (93 días) de análisis de métricas al activar la característica de métricas de infraestructura mejorada. Ponte en contacto [AWS Support](https://console.aws.amazon.com/support)para solicitar que AWS dejes de usar tus CloudWatch métricas y datos de configuración para mejorar la calidad de las recomendaciones de Compute Optimizer.
## Permisos necesarios
Debe tener los permisos adecuados para activar Compute Optimizer, ver sus recomendaciones y desactivarlo. Para obtener más información, consulte [Identity and Access Management para AWS Compute Optimizer](security-iam.md).
Cuando lo activa, Compute Optimizer crea automáticamente un rol vinculado a un servicio en su cuenta para acceder a sus datos. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md).
## Cuentas compatibles con Compute Optimizer
Los siguientes Cuenta de AWS tipos pueden optar por utilizar Compute Optimizer:
+ **Cuenta independiente AWS **
Una cuenta independiente Cuenta de AWS que no tiene AWS Organizations habilitada. Si activa Compute Optimizer con la sesión iniciada en una cuenta independiente, Compute Optimizer analiza los recursos de la cuenta y genera recomendaciones de optimización para esos recursos.
+ **Cuenta miembro de una organización**
Y Cuenta de AWS es un miembro de una organización. Si activa Compute Optimizer con la sesión iniciada en una cuenta de un miembro o una organización, Compute Optimizer analiza los recursos en esa cuenta y genera recomendaciones de optimización para sus recursos.
+ **Cuenta de administración de una organización**
Y Cuenta de AWS que administra una organización. Si se suscribe a Compute Optimizer al mismo tiempo que se registra en una cuenta de administración de una organización, Compute Optimizer le da la opción de activar solo la cuenta de administración o la cuenta de administración y todas las cuentas miembro de la organización.
**importante**
Para activar todas las cuentas de los miembros de una organización, asegúrese de que la organización tenga todas las características habilitadas. Para obtener más información, consulte [Habilitar todas las características en la organización](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) en la *Guía del usuario de AWS Organizations *.
Cuando activa el uso de la cuenta de administración de su organización e incluye todas las cuentas de los miembros de la organización, el acceso confiable a Compute Optimizer se habilita en la cuenta de su organización. Para obtener más información, consulte [Acceso confiable para AWS Organizations](security-iam.md#trusted-service-access).
## Siguientes pasos
Para obtener instrucciones sobre cómo habilitar su cuenta, o las cuentas de su organización AWS Compute Optimizer, consulte[Optar por: AWS Compute Optimizer](account-opt-in.md).
## Recursos adicionales
+ [Identity and Access Management para AWS Compute Optimizer](security-iam.md)
+ [AWS políticas gestionadas para AWS Compute Optimizer](managed-policies.md)
+ [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md)
# Optar por: AWS Compute Optimizer
Utilice el siguiente procedimiento para suscribir su cuenta o las cuentas de su organización en AWS Compute Optimizer. Puedes optar por usar la consola Compute Optimizer o AWS Command Line Interface ()AWS CLI.
**nota**
Si su cuenta ya está activada, pero quiere volver a activarla para volver a habilitar el acceso confiable a Compute Optimizer en su organización, puede volver a activarla, pero debe hacerlo mediante la AWS CLI. Si optas por usar el AWS CLI, ejecuta el `update-enrollment-status` comando y especifica el `--include-member-accounts` parámetro. Como alternativa, puedes habilitar el acceso confiable directamente en la AWS Organizations consola AWS CLI o mediante nuestra API. Para obtener más información, consulte [Uso de AWS Organizations con otros Servicios de AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la *Guía del usuario de AWS Organizations *.
## Requisitos previos
Asegúrese de que su identidad de IAM tenga los permisos adecuados para suscribirse a AWS Compute Optimizer. La política sugerida para conceder este permiso es [Política de suscripción a Compute Optimizer](security-iam.md#opting-in-access).
## Procedimiento
------
#### [ Console ]
**Suscripción a Compute Optimizer**
1. Abre la consola de Compute Optimizer en. [https://console.aws.amazon.com/compute-optimizer/](https://console.aws.amazon.com/compute-optimizer/)
Si es la primera vez que utiliza la consola Compute Optimizer, se mostrará la **página de inicio de Compute Optimizer**.
1. Elija **Comenzar**.
1. En la página **Configuración de la cuenta**, consulte las secciones **Cómo empezar** y **Configurar la cuenta**.
1. Se muestran las siguientes opciones si la cuenta en la que ha iniciado sesión es la cuenta de administración de su organización. Elija una antes de continuar con el siguiente paso.
+ **Solo esta cuenta**: elija esta opción para activar solo la cuenta en la que ha iniciado sesión actualmente. Si elige esta opción, Compute Optimizer analiza los recursos que se encuentran en la cuenta individual y genera recomendaciones de optimización para esos recursos.
+ **Todas las cuentas de esta organización**: elija esta opción para incluir la cuenta en la que ha iniciado sesión actualmente y todas las cuentas de sus miembros. Si elige esta opción, Compute Optimizer analiza los recursos que se encuentran en todas las cuentas de la organización y genera recomendaciones de optimización para esos recursos.
**nota**
Si agrega nuevas cuentas de miembros a su organización después de activarla, Compute Optimizer las habilitará automáticamente.
1. Seleccione **Activar**. Al activarla, indica que acepta y entiende los requisitos para activar Compute Optimizer.
Una vez activada, se le redirigirá al panel de control de la consola de Compute Optimizer. Al mismo tiempo, el servicio comienza inmediatamente a analizar las métricas de configuración y utilización de AWS los recursos. Para obtener más información, consulte [Métricas analizadas por AWS Compute Optimizer](metrics.md).
**nota**
Cuando complete el proceso de suscripción, las cuentas incluidas pueden tardar hasta 24 horas en aparecer en la consola de Compute Optimizer.
------
#### [ CLI ]
**Suscripción a Compute Optimizer**
1. Abra una ventana de terminal o de símbolo del sistema.
Si aún no lo has instalado, instálalo y configúralo para que funcione con Compute Optimizer. AWS CLI Para obtener más información, consulte [Instalación de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) y [Configuración rápida de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html#cli-quick-configuration) en la *Guía del usuario de la AWS Command Line Interface *.
1. Especifique uno de los siguientes comandos. Elija si desea usar la cuenta individual o la cuenta de administración de la organización y todas las cuentas de sus miembros.
+ Para activar su cuenta individual:
```
aws compute-optimizer update-enrollment-status --status Active
```
+ Para activar la cuenta de administración de una organización e incluir todas las cuentas de los miembros de la organización:
```
aws compute-optimizer update-enrollment-status --status Active --include-member-accounts
```
Tras activar Compute Optimizer mediante el comando anterior, el servicio comienza a analizar las métricas de configuración y utilización de tus AWS recursos. Para obtener más información, consulte [Métricas analizadas por AWS Compute Optimizer](metrics.md).
------
## Siguientes pasos
+ Asegúrate de que tus AWS recursos cumplan con los requisitos necesarios para que Compute Optimizer genere tus recomendaciones. Luego, espere al menos 24 horas para que se generen sus recomendaciones de optimización. Para obtener más información, consulte [Requisitos de recursos](requirements.md).
+ Los resultados y las recomendaciones se muestran en el panel de control y en las páginas de recomendaciones de la consola de Compute Optimizer. Para obtener más información, consulte [Uso del AWS Compute Optimizer panel](viewing-dashboard.md) y [Visualización de recomendaciones de recursos](viewing-recommendations.md).
+ Considere la posibilidad de ampliar el período retroactivo del período predeterminado de 14 días a 93 días activando la característica de métricas de infraestructura mejorada. Para obtener más información, consulte [Métricas de infraestructura mejorada](enhanced-infrastructure-metrics.md).
+ Con la cuenta de administración de su organización, puede delegar una cuenta de miembro como administrador de Compute Optimizer. Para obtener más información, consulte [Cómo delegar una cuenta de administrador](delegate-administrator-account.md).
## Recursos adicionales
+ [Identity and Access Management para AWS Compute Optimizer](security-iam.md)
+ [AWS políticas gestionadas para AWS Compute Optimizer](managed-policies.md)
+ [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md)
+ Resolución de problemas de [Resolución de problemas en Compute Optimizer](troubleshooting-account-opt-in.md)
# Cancelación de la suscripción a Compute Optimizer
Utilice el siguiente procedimiento para cancelar la suscripción de su cuenta de Compute Optimizer mediante la AWS CLI. El mismo procedimiento también elimina las recomendaciones de su cuenta y los datos de métricas relacionados de Compute Optimizer. Para obtener más información, consulte [update-enrollment-status](https://docs.aws.amazon.com/cli/latest/reference/compute-optimizer/update-enrollment-status.html) en la *Referencia de comandos de la AWS CLI *.
**nota**
No puede desactivar el uso de la consola de Compute Optimizer.
## Procedimiento
**Para cancelar la suscripción de una cuenta a Compute Optimizer**
1. Abra una ventana de terminal o de símbolo del sistema.
Si aún no lo has hecho, instálalo AWS CLI y configúralo para que funcione con Compute Optimizer. Para obtener más información, consulte [Instalación de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) y [Configuración rápida de la AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html#cli-quick-configuration) en la *Guía del usuario de la AWS Command Line Interface *.
1. Escriba el siguiente comando.
```
aws compute-optimizer update-enrollment-status --status Inactive
```
**nota**
No puede especificar el parámetro `--include-member-accounts` al cancelar la suscripción con el comando `update-enrollment-status`. Si especifica este parámetro al cancelar la suscripción con este comando, se produce un error.
Se desactivará la cuenta en Compute Optimizer después de ejecutar el comando anterior. Al mismo tiempo, las recomendaciones de la cuenta y los datos de métricas relacionados se eliminan de Compute Optimizer. Si accede a la consola Compute Optimizer, aparecerá la opción de volver a activar la cuenta.
# Identity and Access Management para AWS Compute Optimizer
Puede usar AWS Identity and Access Management (IAM) para crear identidades (usuarios, grupos o roles) y conceder a esas identidades permisos para acceder a la AWS Compute Optimizer consola y APIs.
De forma predeterminada, los usuarios de IAM no tienen acceso a la consola Compute Optimizer y. APIs Si desea conceder a los usuarios acceso asociando políticas de IAM a un único usuario, a un grupo de usuarios o a un rol. Para obtener más información, consulte [Identidades de IAM (usuarios, grupos de usuarios y roles)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) y [Resumen de las políticas de IAM en la guía del usuario de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Después de crear los usuarios de IAM, puede asignarles contraseñas. De ese modo, podrán iniciar sesión en la cuenta y ver la información de Compute Optimizer a través de una página de inicio de sesión específica de la cuenta. Para obtener más información, consulte [Cómo inician sesión los usuarios en la cuenta](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**importante**
Para ver las recomendaciones de las instancias EC2, un usuario de IAM necesita el permiso `ec2:DescribeInstances`.
Para ver las recomendaciones de los volúmenes de EBS, un usuario de IAM necesita el permiso `ec2:DescribeVolumes`.
Para ver las recomendaciones de los grupos de Auto Scaling de EC2, un usuario de IAM necesita `autoscaling:DescribeAutoScalingGroups` los `autoscaling:DescribeAutoScalingInstances` permisos y.
Para ver las recomendaciones de las funciones de Lambda, un usuario de IAM necesita los permisos `lambda:ListFunctions` y `lambda:ListProvisionedConcurrencyConfigs`.
Para ver las recomendaciones para los servicios de Amazon ECS en Fargate, un usuario de IAM necesita los permisos `ecs:ListServices` y `ecs:ListClusters`.
Para ver los datos de CloudWatch las métricas actuales en la consola de Compute Optimizer, un usuario de IAM necesita el permiso. `cloudwatch:GetMetricData`
Para ver las recomendaciones, las licencias de software comercial, se requieren determinados permisos de roles de instancia de Amazon EC2 y de usuario de IAM. Para obtener más información, consulte, [Políticas para habilitar las recomendaciones de licencias de software comercial](#license-access).
Para ver las recomendaciones para los servicios de Amazon RDS, un usuario de IAM necesita los permisos `rds:DescribeDBInstances` y `rds:DescribeDBClusters`.
Si el usuario o grupo al que desea conceder permisos ya tiene una política, puede agregar una de las políticas específicas de Compute Optimizer que se ilustran aquí.
**Topics**
+ [Acceso confiable para AWS Organizations](#trusted-service-access)
+ [Ejemplos de políticas para Compute Optimizer](#CO-policy-examples)
+ [Ejemplos de políticas de automatización](#COA-policy-example)
+ [Recursos adicionales](#iam-resources)
## Acceso confiable para AWS Organizations
Cuando activa el uso de la cuenta de administración de su organización e incluye todas las cuentas de los miembros de la organización, el acceso confiable a Compute Optimizer se habilita automáticamente en la cuenta de su organización. Esto permite a Compute Optimizer analizar los recursos de cómputo en las cuentas de esos miembros y generar recomendaciones para ellos.
Cada vez que accede a las recomendaciones de las cuentas de los miembros, Compute Optimizer verifica que el acceso confiable esté habilitado en la cuenta de su organización. Si inhabilita el acceso de confianza de Compute Optimizer después de registrarse, Compute Optimizer deniega el acceso a las recomendaciones de las cuentas de los miembros de su organización. Además, las cuentas de los miembros de la organización no están habilitadas para Compute Optimizer. Para volver a habilitar el acceso confiable, vuelva a activar Compute Optimizer con la cuenta de administración de su organización e incluya todas las cuentas de los miembros de la organización. Para obtener más información, consulte [Optar por: AWS Compute Optimizer](account-opt-in.md). Para obtener más información sobre el acceso de AWS Organizations confianza, consulte [Uso AWS Organizations con otros AWS servicios](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) en la *Guía del AWS Organizations usuario*.
## Ejemplos de políticas para Compute Optimizer
**Topics**
+ [Política de suscripción a Compute Optimizer](#opting-in-access)
+ [Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS](#standalone-account-access)
+ [Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización](#organization-account-access)
+ [Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer](#enhanced-infrastructure-metrics-permissions)
+ [Políticas para habilitar las recomendaciones de licencias de software comercial](#license-access)
+ [Política para denegar el acceso a Compute Optimizer](#deny-access)
### Política de suscripción a Compute Optimizer
Esta declaración de la política incluye lo siguiente:
+ Acceso para suscribirse a Compute Optimizer.
+ Acceso para crear un rol vinculado al servicio de Compute Optimizer. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md).
+ Acceso para actualizar el estado de inscripción en el servicio Compute Optimizer.
**importante**
Este rol de IAM es obligatorio para inscribirse a AWS Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acceso a Compute Optimizer de forma independiente Cuentas de AWS
La siguiente instrucción de política concede acceso completo a Compute Optimizer para cuentas de Cuentas de AWS independientes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
La siguiente instrucción de política concede acceso de solo lectura a Compute Optimizer para cuentas de Cuentas de AWS independientes.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización
La siguiente declaración de política otorga acceso total a Compute Optimizer para una cuenta de administración de su organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
------
La siguiente declaración de política otorga acceso de solo lectura a Compute Optimizer para una cuenta de administración de una organización.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListDelegatedAdministrators",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acceso a la administración de las preferencias de recomendación de Compute Optimizer
Las siguientes declaraciones de política permiten ver y editar las preferencias de recomendación.
**Conceder acceso para gestionar las preferencias de recomendación únicamente para las instancias de EC2**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "Ec2Instance"
}
}
}
]
}
```
------
**Otorgue acceso para gestionar las preferencias de recomendación únicamente para los grupos de Auto Scaling de EC2**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "AutoScalingGroup"
}
}
}
]
}
```
------
**Conceder acceso para gestionar las preferencias de recomendación únicamente para las instancias de RDS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "RdsDBInstance"
}
}
}
]
}
```
------
### Políticas para habilitar las recomendaciones de licencias de software comercial
Para que Compute Optimizer genere recomendaciones de licencias, adjunte las siguientes políticas y roles de instancia de Amazon EC2.
+ El rol de `AmazonSSMManagedInstanceCore` para habilitar Systems Manager. Para obtener más información, consulte [Ejemplos de políticas basadas en identidad de AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/security_iam_id-based-policy-examples) en la *Guía del usuario de AWS Systems Manager *.
+ La `CloudWatchAgentServerPolicy` política que permite la publicación de las métricas y los registros de las instancias a CloudWatch. Para obtener más información, consulte [Crear roles y usuarios de IAM para usarlos con el CloudWatch agente](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/create-iam-roles-for-cloudwatch-agent) en la *Guía del CloudWatch usuario de Amazon*.
+ La siguiente declaración de política en línea de IAM para leer la cadena de conexión secreta de Microsoft SQL Server almacenada en AWS Systems Manager. Para obtener más información sobre las políticas insertadas, consulte [Políticas administradas y políticas insertadas](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline) en la *Guía del usuario de AWS Identity and Access Management *.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
}
]
}
```
------
Además, para habilitar y recibir recomendaciones de licencias, adjunte la siguiente política de IAM a su usuario, grupo o función. Para obtener más información, consulta la [política de IAM](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-iam) en la *Guía del CloudWatch usuario de Amazon*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"applicationinsights:*",
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"resource-groups:ListGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Política para denegar el acceso a Compute Optimizer
La siguiente instrucción de política deniega el acceso a Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "compute-optimizer:*",
"Resource": "*"
}
]
}
```
------
## Ejemplos de políticas de automatización
**Topics**
+ [Política para habilitar la automatización de una cuenta](#policy-automation-enable)
+ [Política para habilitar la automatización en una organización](#automation-enable-org)
+ [Política para otorgar acceso completo a Compute Optimizer Automation para cuentas independientes AWS](#automation-account-full)
+ [Política para conceder acceso de solo lectura a Compute Optimizer Automation para cuentas independientes AWS](#automation-account-read)
+ [Política para conceder acceso completo a la automatización de Compute Optimizer para una cuenta de administración de una organización](#automation-account-mgmt)
+ [Política para conceder acceso de solo lectura a la automatización de Compute Optimizer para una cuenta de administración de una organización](#automation-account-mgmt-readonly)
### Política para habilitar la automatización de una cuenta
La siguiente declaración de política habilita la automatización de su cuenta.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
}
]
}
```
### Política para habilitar la automatización en una organización
La siguiente declaración de política permite la automatización en toda su organización.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:AssociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:DisassociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:ListAccounts",
"Resource": "*"
}
]
}
```
### Política para otorgar acceso completo a Compute Optimizer Automation para cuentas independientes AWS
La siguiente política otorga acceso completo a Compute Optimizer Automation para cuentas independientes AWS .
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acceso de solo lectura a Compute Optimizer Automation para cuentas independientes AWS
La siguiente política otorga acceso de solo lectura a Compute Optimizer Automation para cuentas independientes. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acceso completo a la automatización de Compute Optimizer para una cuenta de administración de una organización
La siguiente política otorga acceso completo a Compute Optimizer Automation para una cuenta de administración de una organización.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
### Política para conceder acceso de solo lectura a la automatización de Compute Optimizer para una cuenta de administración de una organización
La siguiente política otorga acceso de solo lectura a Compute Optimizer Automation para una cuenta de administración de una organización.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAccounts",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
## Recursos adicionales
+ Resolución de problemas de [Resolución de problemas en Compute Optimizer](troubleshooting-account-opt-in.md)
+ [Optar por: AWS Compute Optimizer](account-opt-in.md)
+ [AWS políticas gestionadas para AWS Compute Optimizer](managed-policies.md)
+ [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md)
+ [Uso de roles vinculados a servicios para la automatización](using-service-linked-roles-automation.md)
# AWS políticas gestionadas para AWS Compute Optimizer
Para añadir permisos a los usuarios, grupos y funciones, considere la posibilidad de utilizar políticas AWS administradas en lugar de escribir sus propias políticas. Se necesita tiempo y experiencia para [crear políticas administradas por el cliente de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que proporcionen a su equipo solo los permisos necesarios. Para empezar rápidamente, puedes usar políticas AWS administradas. Estas políticas cubren casos de uso comunes y están disponibles en su Cuenta de AWS. Para obtener más información sobre las políticas AWS administradas, consulte las [políticas AWS administradas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) en la *Guía del usuario de IAM*.
Servicios de AWS mantener y actualizar las políticas AWS gestionadas. No puede cambiar los permisos en las políticas AWS gestionadas. En ocasiones, los servicios añaden permisos adicionales a una política AWS gestionada para admitir nuevas funciones. Este tipo de actualización afecta a todas las identidades (usuarios, grupos y roles) donde se asocia la política. Lo más probable es que los servicios actualicen una política AWS administrada cuando se lanza una nueva función o cuando hay nuevas operaciones disponibles. Los servicios no eliminan los permisos de una política AWS administrada, por lo que las actualizaciones de la política no afectarán a los permisos existentes.
Además, Amazon Web Services admite políticas administradas para funciones de trabajo que abarcan varios servicios. Por ejemplo, la política **ReadOnlyAccess** AWS administrada proporciona acceso de solo lectura a todos los recursos. Cuando un servicio lanza una nueva función, AWS agrega permisos de solo lectura para nuevas operaciones y recursos. Para obtener una lista y descripciones de las políticas de funciones de trabajo, consulte [Políticas administradas de AWS para funciones de trabajo](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) en la *Guía del usuario de IAM*.
**Topics**
+ [AWS política gestionada: ComputeOptimizerServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerServiceRolePolicy)
+ [AWS política gestionada: ComputeOptimizerReadOnlyAccess](#security-iam-awsmanpol-ComputeOptimizerReadOnlyAccess)
+ [AWS política gestionada: ComputeOptimizerAutomationServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)
+ [Compute Optimizer actualiza las políticas administradas AWS](#security-iam-awsmanpol-updates)
## AWS política gestionada: ComputeOptimizerServiceRolePolicy
La política administrada por `ComputeOptimizerServiceRolePolicy` está adjunta a un rol vinculado a servicios que permite a Compute Optimizer llevar a cabo acciones en su nombre. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md).
**nota**
No puede asociar `ComputeOptimizerServiceRolePolicy` a sus entidades IAM.
**Detalles de los permisos**
Esta política incluye los siguientes permisos.
+ `compute-optimizer`: concede permisos administrativos completos a todos los recursos de Compute Optimizer.
+ `organizations`: permite que la cuenta de administración de una organización de AWS active las cuentas de los miembros de la organización en Compute Optimizer.
+ `cloudwatch`— Otorga acceso a las métricas de los CloudWatch recursos con el fin de analizarlas y generar recomendaciones de recursos de Compute Optimizer.
+ `autoscaling`— Concede acceso a los grupos de Auto Scaling de EC2 y a las instancias de los grupos de Auto Scaling de EC2 con fines de validación.
+ `Ec2`: concede acceso a instancias y volúmenes de Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
## AWS política gestionada: ComputeOptimizerReadOnlyAccess
Puede asociar la política `ComputeOptimizerReadOnlyAccess` a las identidades de IAM.
Esta política otorga permisos de solo lectura que brindan acceso a los usuarios de IAM a ver recomendaciones de recursos de Compute Optimizer.
**Detalles de los permisos**
Esta política incluye lo siguiente:
+ `compute-optimizer`: concede acceso de solo lectura a las recomendaciones de recursos de Compute Optimizer.
+ `ec2`: concede acceso de solo lectura a instancias y volúmenes de Amazon EC2.
+ `autoscaling`— Otorga acceso de solo lectura a los grupos de Auto Scaling de EC2.
+ `lambda`— Otorga acceso de solo lectura a las funciones y sus configuraciones AWS Lambda .
+ `cloudwatch`— Otorga acceso de solo lectura a los datos CloudWatch métricos de Amazon para los tipos de recursos compatibles con Compute Optimizer.
+ `organizations`— Otorga acceso de solo lectura a las cuentas de los miembros de una organización. AWS
+ `ecs`: concede acceso a los servicios de Amazon ECS en Fargate.
+ `rds`: concede acceso de solo lectura a las instancias y clústeres de Amazon RDS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
**nota**
La siguiente declaración de política otorga únicamente acceso de solo lectura a Compute Optimizer para una cuenta de administración de una organización con el objetivo de consultar recomendaciones en el ámbito de una organización. Si ejerce de administrador delegado y quiere consultar las recomendaciones en el ámbito de su organización, consulte [Políticas para conceder acceso a Compute Optimizer para una cuenta de administración de una organización](https://docs.aws.amazon.com//compute-optimizer/latest/ug/security-iam.html#organization-account-access).
## AWS política gestionada: ComputeOptimizerAutomationServiceRolePolicy
La política `ComputeOptimizerAutomationServiceRolePolicy` administrada está asociada a un rol vinculado a un servicio que permite a Compute Optimizer implementar recomendaciones de optimización mediante la AWS administración de los recursos de tu cuenta. Para obtener más información, consulte [Uso de roles vinculados a servicios para AWS Compute Optimizer](using-service-linked-roles.md).
**nota**
No puede asociar `ComputeOptimizerAutomationServiceRolePolicy` a sus entidades IAM.
**Detalles de los permisos**
Esta política incluye los permisos siguientes:
+ `ec2:DescribeVolumes`,`ec2:DescribeSnapshots`, `ec2:DescribeVolumesModifications` — Otorga acceso de solo lectura para ver los volúmenes, las instantáneas y el estado de modificación de los volúmenes de Amazon EBS con fines de supervisión y validación.
+ `ec2:ModifyVolume`, `ec2:DeleteVolume` — Permite modificar y eliminar los volúmenes de Amazon EBS, pero solo los recursos que no tienen la `exclude-from-compute-optimizer-automation` etiqueta. Esto le permite excluir los recursos de las acciones de optimización automatizadas.
+ `ec2:CreateSnapshot`— Concede permiso para crear instantáneas de los volúmenes de Amazon EBS con fines de respaldo antes de realizar acciones de optimización.
+ `ec2:CreateVolume`— Permite la creación de volúmenes de Amazon EBS a partir de instantáneas para respaldar las operaciones de reversión en caso de que sea necesario revertir las acciones de optimización.
+ `ec2:CreateTags`— Otorga permiso para añadir etiquetas a los recursos de Amazon EBS para realizar un seguimiento de los eventos de automatización y mantener los metadatos de los recursos.
Para ver los permisos de esta política, consulte [ComputeOptimizerAutomationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ComputeOptimizerAutomationServiceRolePolicy.html)la *Referencia sobre políticas AWS gestionadas*.
## Compute Optimizer actualiza las políticas administradas AWS
Consulta los detalles sobre las actualizaciones de las políticas AWS administradas de Compute Optimizer desde que este servicio comenzó a realizar un seguimiento de estos cambios. Para obtener alertas automáticas sobre cambios en esta página, suscríbase a la fuente RSS para esta guía.
| Cambio | Descripción | Fecha |
| --- | --- | --- |
| Se agregó una nueva `ComputeOptimizerAutomationServiceRolePolicy` política administrada | Se agregó una nueva política de roles `ComputeOptimizerAutomationServiceRolePolicy` vinculados al servicio. | 19 de noviembre de 2025 |
| Edición de la política administrada por `ComputeOptimizerServiceRolePolicy` | Se agregaron las acciones `cloudwatch:DescribeAlarms`, `autoscaling:DescribePolicies` y `autoscaling:DescribeScheduledActions` a la política administrada por `ComputeOptimizerServiceRolePolicy`. | 9 de enero de 2025 |
| Edición de la política administrada por `ComputeOptimizerReadOnlyAccess` | Se agregaron las acciones `compute-optimizer:GetIdleRecommendations` a la política administrada por `ComputeOptimizerReadOnlyAccess`. | 20 de noviembre de 2024 |
| Edición de la política administrada por `ComputeOptimizerReadOnlyAccess` | Se agregaron las acciones `compute-optimizer:GetRDSDatabaseRecommendations`, `compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics`, `rds:DescribeDBInstances` y `rds:DescribeDBClusters` a la política administrada por `ComputeOptimizerReadOnlyAccess`. | 20 de junio de 2024 |
| Edición de la política administrada por `ComputeOptimizerReadOnlyAccess` | Se agregaron las acciones `compute-optimizer:GetLicenseRecommendations` a la política administrada por `ComputeOptimizerReadOnlyAccess`. | 26 de julio de 2023 |
| Edición de la política administrada por `ComputeOptimizerReadOnlyAccess` | Se agregaron las acciones `compute-optimizer:GetECSServiceRecommendations`, `compute-optimizer:GetECSServiceRecommendationProjectedMetrics`, `ecs:ListServices` y `ecs:ListClusters` a la política administrada por `ComputeOptimizerReadOnlyAccess`. | 22 de diciembre de 2022 |
| Edición de la política administrada por ComputeOptimizerServiceRolePolicy | Se agregaron las acciones ec2:DescribeInstances, ec2:DescribeVolumes y organizations:ListDelegatedAdministrators a la política administrada por ComputeOptimizerServiceRolePolicy. | 25 de julio de 2022 |
| Edición de la política administrada por `ComputeOptimizerServiceRolePolicy` | Se agregaron las acciones `autoscaling:DescribeAutoScalingInstances` y `autoscaling:DescribeAutoScalingGroups` a la política administrada por `ComputeOptimizerServiceRolePolicy`. | 29 de noviembre de 2021 |
| Edición de la política administrada por `ComputeOptimizerReadOnlyAccess` | Se agregaron las acciones `compute-optimizer:GetRecommendationPreferences`, `compute-optimizer:GetEffectiveRecommendationPreferences` y `autoscaling:DescribeAutoScalingInstances` a la política administrada por `ComputeOptimizerReadOnlyAccess`. | 29 de noviembre de 2021 |
| Edición de la política administrada por `ComputeOptimizerReadOnlyAccess` | Se agregó la acción `GetEnrollmentStatusesForOrganization` a la política administrada `ComputeOptimizerReadOnlyAccess`. | 26 de agosto de 2021 |
| Compute Optimizer comenzó a hacer un seguimiento de los cambios | Compute Optimizer comenzó a realizar un seguimiento de los cambios en sus políticas AWS administradas. | 18 de mayo de 2021 |
# Uso de roles vinculados a servicios para AWS Compute Optimizer
AWS Compute Optimizer [usa roles vinculados al AWS Identity and Access Management servicio (IAM).](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) Un rol vinculado a servicios es un tipo único de rol de IAM que está vinculado directamente a Compute Optimizer. Los roles vinculados a servicios están predefinidos por Compute Optimizer e incluyen todos los permisos que el servicio requiere para llamar a otros servicios en su nombre.
Con un rol vinculado a servicios, la configuración de Compute Optimizer no requiere agregar manualmente los permisos necesarios. Compute Optimizer define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Compute Optimizer puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios en los que se indica **Sí** en la columna **Rol vinculado a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de roles vinculados a servicios de Compute Optimizer](#slr-permissions)
+ [Permisos de roles vinculados a servicios](#service-linked-role-permissions)
+ [Creación de un rol vinculado a servicios para Compute Optimizer](#create-slr)
+ [Edición de un rol vinculado a servicios para Compute Optimizer](#edit-slr)
+ [Eliminación de un rol vinculado a servicios para Compute Optimizer](#delete-slr)
+ [Regiones admitidas para los roles vinculados al servicio de Compute Optimizer](#slr-regions)
+ [Recursos adicionales](#slr-resources)
## Permisos de roles vinculados a servicios de Compute Optimizer
Compute Optimizer usa el rol vinculado al servicio que se denomina para **AWSServiceRoleForComputeOptimizer**acceder a las CloudWatch métricas de Amazon para AWS los recursos de la cuenta.
El rol AWSService RoleForComputeOptimizer vinculado al servicio confía en los siguientes servicios para asumir el rol:
+ `compute-optimizer.amazonaws.com`
La política de permisos del rol permite que Compute Optimizer realice las siguientes acciones en los recursos especificados:
+ Acción: `cloudwatch:GetMetricData` en todos AWS los recursos.
+ Acción: `cloudwatch:DescribeAlarms` sobre todos los AWS recursos.
+ Acción: `organizations:DescribeOrganization` sobre todos los AWS recursos.
+ Acción: `organizations:ListAccounts` sobre todos los AWS recursos.
+ Acción: `organizations:ListAWSServiceAccessForOrganization` en todos los recursos de AWS .
+ Acción: `organizations:ListDelegatedAdministrators` en todos los recursos de AWS .
+ Acción: `autoscaling:DescribeAutoScalingInstances` en todos los recursos de AWS .
+ Acción: `autoscaling:DescribeAutoScalingGroups` en todos los recursos de AWS .
+ Acción: `autoscaling:DescribePolicies` en todos los recursos de AWS .
+ Acción: `autoscaling:DescribeScheduledActions` en todos los recursos de AWS .
+ Acción: `ec2:DescribeInstances` en todos los recursos de AWS .
+ Acción: `ec2:DescribeSnapshots` en todos los recursos de AWS .
+ Acción: `ec2:DescribeVolumesModifications` en todos los recursos de AWS .
+ Acción: `ec2:CreateVolume` en todos los recursos de AWS .
+ Acción: `ec2:ModifyVolume` en todos los recursos de AWS .
+ Acción: `ec2:DeleteVolume` en todos los recursos de AWS .
+ Acción: `ec2:CreateSnapshot` en todos los recursos de AWS .
+ Acción: `ec2:createTags` en todos los recursos de AWS .
## Permisos de roles vinculados a servicios
Para crear un rol vinculado a servicios para Compute Optimizer, configure los permisos para permitir a una entidad de IAM (usuario, un grupo o un rol) crear un rol vinculado a servicios. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
**Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico para Compute Optimizer**
Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
**Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio**
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Para permitir que Compute Optimizer lleve a cabo las acciones recomendadas en nombre de los clientes**
Agrega una declaración a la política de permisos de la entidad de IAM que necesite crear un rol vinculado al servicio o cualquier rol de servicio que incluya las políticas necesarias. Esta política asocia una política al rol. Para obtener más información, consulte la [AWS política gestionada: ComputeOptimizerAutomationServiceRolePolicy](managed-policies.md#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy) página de políticas gestionadas.
## Creación de un rol vinculado a servicios para Compute Optimizer
No necesita crear manualmente un rol vinculado a servicios. Cuando optas por el servicio Compute Optimizer en la Consola de administración de AWS, la o la AWS API AWS CLI, Compute Optimizer crea el rol vinculado al servicio por ti.
**importante**
Este rol vinculado al servicio puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte [Un nuevo rol ha aparecido en la cuenta de IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando activa la participación en el servicio de Compute Optimizer, Compute Optimizer se encarga de crear el rol vinculado a servicios de nuevo.
## Edición de un rol vinculado a servicios para Compute Optimizer
Compute Optimizer no te permite editar el rol vinculado al AWSService RoleForComputeOptimizer servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminación de un rol vinculado a servicios para Compute Optimizer
Te recomendamos que, si ya no necesitas usar Compute Optimizer, elimines la función vinculada al AWSService RoleForComputeOptimizer servicio. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe desactivar Compute Optimizer.
**Para desactivar Compute Optimizer**
Para obtener información sobre cómo desactivar Compute Optimizer, consulte [Cancelación de la suscripción a Compute Optimizer](account-opt-out.md).
**Para eliminar manualmente el rol vinculado a servicios mediante IAM**
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSService RoleForComputeOptimizer Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones admitidas para los roles vinculados al servicio de Compute Optimizer
Compute Optimizer admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para ver las Regiones de AWS y los puntos de conexión admitidos actualmente para Compute Optimizer, consulte [Compute Optimizer Endpoints and Quotas](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html) en la *Referencia general de AWS *.
## Recursos adicionales
+ Resolución de problemas de [Resolución de problemas en Compute Optimizer](troubleshooting-account-opt-in.md)
+ [AWS políticas gestionadas para AWS Compute Optimizer](managed-policies.md)
+ [Optar por: AWS Compute Optimizer](account-opt-in.md)
+ [Identity and Access Management para AWS Compute Optimizer](security-iam.md)
# Uso de roles vinculados a servicios para la automatización
AWS Compute Optimizer utiliza los AWS Identity and Access Management roles vinculados al [servicio](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM) denominados. AWSService RoleForComputeOptimizerAutomation Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Compute Optimizer Automation. Compute Optimizer Automation predefine las funciones vinculadas al servicio e incluyen todos los permisos que el servicio requiere para llamar a otros en tu nombre.
Con un rol vinculado a un servicio, la configuración de Compute Optimizer Automation no requiere agregar manualmente los permisos necesarios. Compute Optimizer Automation define los permisos de sus funciones vinculadas a servicios y, a menos que se defina lo contrario, solo Compute Optimizer Automation puede asumir sus funciones. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte [Servicios de AWS que funcionan con IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) y busque los servicios en los que se indica **Sí** en la columna **Rol vinculado a servicios**. Elija una opción **Sí** con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
**Topics**
+ [Permisos de roles vinculados a servicios para Compute Optimizer Automation](#slr-permissions-automation)
+ [Permisos de roles vinculados a servicios](#service-linked-role-permissions-automation)
+ [Creación de un rol vinculado a un servicio para la automatización de Compute Optimizer](#create-slr-automation)
+ [Edición de un rol vinculado a un servicio para Compute Optimizer Automation](#edit-slr-automation)
+ [Eliminar un rol vinculado a un servicio para Compute Optimizer Automation](#delete-slr-automation)
+ [Regiones compatibles con las funciones vinculadas al servicio de Compute Optimizer Automation](#slr-regions)
## Permisos de roles vinculados a servicios para Compute Optimizer Automation
Compute Optimizer Automation usa el rol vinculado al servicio que se denomina, que permite el acceso a los AWS servicios y recursos **AWSServiceRoleForComputeOptimizerAutomation**que Compute Optimizer Automation usa o administra. Esta función vinculada a un servicio permite a Compute Optimizer Automation implementar recomendaciones de optimización mediante la realización de tareas como la creación, modificación y eliminación de recursos a través de otros servicios. AWS
El rol AWSService RoleForComputeOptimizerAutomation vinculado al servicio confía en que los `aco-automation.amazonaws.com` servicios asuman el rol.
El rol vinculado al servicio `AWSServiceRoleForComputeOptimizerAutomation` utiliza la política administrada de `AWSComputeOptimizerAutomationRolePolicy`.
## Permisos de roles vinculados a servicios
Para crear un rol vinculado a un servicio para Compute Optimizer Automation, configura los permisos para permitir que una entidad de IAM (como un usuario, un grupo o un rol) cree el rol vinculado al servicio. Para obtener más información, consulte [Permisos de roles vinculados a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) en la *Guía del usuario de IAM*.
Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
}
]
}
```
## Creación de un rol vinculado a un servicio para la automatización de Compute Optimizer
El rol AWSService RoleForComputeOptimizerAutomation vinculado al servicio se crea automáticamente cuando habilitas Compute Optimizer Automation. Puedes habilitarlo AWSService RoleForComputeOptimizerAutomation manualmente en la API de IAM AWS CLI o en ella.
El rol vinculado al servicio creado para una cuenta de administración de Compute Optimizer Automation no se aplica a las cuentas de los miembros. Compute Optimizer Automation crea un rol independiente vinculado al servicio para cada cuenta cuando la función está habilitada. Cuando una cuenta de administración habilita la automatización para una cuenta de miembro, Compute Optimizer Automation crea el rol vinculado al servicio bajo demanda la primera vez que implementa una acción recomendada para esa cuenta. Esto ocurre cuando la cuenta de administración o la cuenta de miembro inicia la acción directamente o cuando una regla de automatización ejecuta una acción para esa cuenta de miembro.
## Edición de un rol vinculado a un servicio para Compute Optimizer Automation
Compute Optimizer Automation no te permite editar el rol vinculado al AWSService RoleForComputeOptimizerAutomation servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulte [Edición de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) en la *Guía del usuario de IAM*.
## Eliminar un rol vinculado a un servicio para Compute Optimizer Automation
Si ya no necesita utilizar una característica o servicio que requiere un rol vinculado a un servicio, le recomendamos que elimine el rol. De esta forma, no tendrá una entidad no utilizada cuya supervisión o mantenimiento no se realizan de forma activa.
Cuando inhabilitas Compute Optimizer Automation, Compute Optimizer Automation no elimina automáticamente el rol vinculado AWSService RoleForComputeOptimizerAutomation al servicio. Si vuelves a habilitar Compute Optimizer Automation, el servicio podrá volver a usar el rol vinculado al servicio existente. Si ya no necesitas usar Compute Optimizer Automation, puedes eliminar manualmente el rol vinculado al servicio.
**importante**
Antes de eliminar el rol AWSService RoleForComputeOptimizerAutomation vinculado al servicio, primero debes deshabilitar Compute Optimizer Automation. Si Compute Optimizer Automation no está deshabilitada al intentar eliminar el rol vinculado al servicio, se produce un error en la eliminación.
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSService RoleForComputeOptimizerAutomation Para obtener más información, consulte [Eliminación de un rol vinculado a servicios](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) en la *Guía del usuario de IAM*.
## Regiones compatibles con las funciones vinculadas al servicio de Compute Optimizer Automation
Compute Optimizer Automation admite el uso de funciones vinculadas al servicio en todas las regiones en las que el servicio está disponible. *Para ver los puntos finales Regiones de AWS y los puntos finales compatibles actualmente con Compute Optimizer, consulta los [puntos finales y las cuotas de Compute Optimizer](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html) en la Referencia general.AWS *