Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.
Uso de roles vinculados a servicios para AWS Compute Optimizer
AWS Compute Optimizer utiliza funciones AWS Identity and Access Management vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Compute Optimizer. Service-linked Compute Optimizer predefine los roles e incluyen todos los permisos que el servicio requiere para llamar a otros en tu nombre.
Con un rol vinculado a servicios, la configuración de Compute Optimizer no requiere agregar manualmente los permisos necesarios. Compute Optimizer define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Compute Optimizer puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.
Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios en los que se indica Sí en la columna Rol vinculado a servicios. Elija una opción Sí con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.
Service-linked permisos de rol para Compute Optimizer
Compute Optimizer usa el rol vinculado al servicio que se denomina para AWSServiceRoleForComputeOptimizeracceder a las CloudWatch métricas de Amazon para AWS los recursos de la cuenta.
El rol AWSServiceRoleForComputeOptimizer vinculado al servicio confía en los siguientes servicios para asumir el rol:
-
compute-optimizer.amazonaws.com
La política de permisos del rol permite que Compute Optimizer realice las siguientes acciones en los recursos especificados:
-
Acción:
cloudwatch:GetMetricDataen todos AWS los recursos. -
Acción:
cloudwatch:DescribeAlarmssobre todos los AWS recursos. -
Acción:
organizations:DescribeOrganizationsobre todos los AWS recursos. -
Acción:
organizations:ListAccountssobre todos los AWS recursos. -
Acción:
organizations:ListAWSServiceAccessForOrganizationen todos los recursos de AWS . -
Acción:
organizations:ListDelegatedAdministratorsen todos los recursos de AWS . -
Acción:
autoscaling:DescribeAutoScalingInstancesen todos los recursos de AWS . -
Acción:
autoscaling:DescribeAutoScalingGroupsen todos los recursos de AWS . -
Acción:
autoscaling:DescribePoliciesen todos los recursos de AWS . -
Acción:
autoscaling:DescribeScheduledActionsen todos los recursos de AWS . -
Acción:
ec2:DescribeInstancesen todos los recursos de AWS . -
Acción:
ec2:DescribeSnapshotsen todos los recursos de AWS . -
Acción:
ec2:DescribeVolumesModificationsen todos los recursos de AWS . -
Acción:
ec2:CreateVolumeen todos los recursos de AWS . -
Acción:
ec2:ModifyVolumeen todos los recursos de AWS . -
Acción:
ec2:DeleteVolumeen todos los recursos de AWS . -
Acción:
ec2:CreateSnapshoten todos los recursos de AWS . -
Acción:
ec2:createTagsen todos los recursos de AWS . -
Acción:
ec2:DescribeNatGatewayssobre todos los AWS recursos. -
Acción:
ec2:DescribeRouteTablessobre todos los AWS recursos. -
Acción:
elasticache:DescribeCacheClusterssobre todos los AWS recursos. -
Acción:
elasticache:DescribeServerlessCachessobre todos los AWS recursos. -
Acción:
memorydb:DescribeClusterssobre todos los AWS recursos. -
Acción:
rds:DescribeDBClusterssobre todos los AWS recursos. -
Acción:
dynamodb:ListTablessobre todos los AWS recursos. -
Acción:
dynamodb:DescribeTablesobre todos los AWS recursos. -
Acción:
workspaces:DescribeWorkspacessobre todos los AWS recursos. -
Acción:
workspaces:DescribeWorkspacesConnectionStatussobre todos los AWS recursos. -
Acción:
sagemaker:ListEndpointssobre todos los AWS recursos. -
Acción:
sagemaker:DescribeEndpointsobre todos los AWS recursos.
Service-linked permisos de rol
Para crear un rol vinculado a servicios para Compute Optimizer, configure los permisos para permitir a una entidad de IAM (usuario, un grupo o un rol) crear un rol vinculado a servicios. Para obtener más información, consulte los permisos de Service-Linked rol en la Guía del usuario de IAM.
Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico para Compute Optimizer
Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.
Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio
Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir que Compute Optimizer lleve a cabo las acciones recomendadas en nombre de los clientes
Agrega una declaración a la política de permisos de la entidad de IAM que necesite crear un rol vinculado al servicio o cualquier rol de servicio que incluya las políticas necesarias. Esta política asocia una política al rol. Para obtener más información, consulte la AWS política gestionada: ComputeOptimizerAutomationServiceRolePolicy página de políticas gestionadas.
Creación de un Service-Linked rol para Compute Optimizer
No necesita crear manualmente un rol vinculado a servicios. Cuando optas por el servicio Compute Optimizer en la Consola de administración de AWS, la o la AWS API AWS CLI, Compute Optimizer crea el rol vinculado al servicio por ti.
importante
Este rol vinculado al servicio puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en la cuenta de IAM.
Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando activa la participación en el servicio de Compute Optimizer, Compute Optimizer se encarga de crear el rol vinculado a servicios de nuevo.
Edición de un Service-Linked rol para Compute Optimizer
Compute Optimizer no te permite editar el rol vinculado al AWSServiceRoleForComputeOptimizer servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulta Cómo editar un Service-Linked rol en la Guía del usuario de IAM.
Eliminar un Service-Linked rol para Compute Optimizer
Te recomendamos que, si ya no necesitas usar Compute Optimizer, elimines la función vinculada al AWSServiceRoleForComputeOptimizer servicio. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe desactivar Compute Optimizer.
Para desactivar Compute Optimizer
Para obtener información sobre cómo desactivar Compute Optimizer, consulte Cancelación de la suscripción a Compute Optimizer.
Para eliminar manualmente el rol vinculado a servicios mediante IAM
Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSServiceRoleForComputeOptimizer Para obtener más información, consulte Eliminar un Service-Linked rol en la Guía del usuario de IAM.
Regiones admitidas para los roles vinculados al servicio de Compute Optimizer
Compute Optimizer admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para ver las Regiones de AWS y los puntos de conexión admitidos actualmente para Compute Optimizer, consulte Compute Optimizer Endpoints and Quotas en la Referencia general de AWS .