View a markdown version of this page

Uso de roles vinculados a servicios para AWS Compute Optimizer - AWS Compute Optimizer

Las traducciones son generadas a través de traducción automática. En caso de conflicto entre la traducción y la version original de inglés, prevalecerá la version en inglés.

Uso de roles vinculados a servicios para AWS Compute Optimizer

AWS Compute Optimizer utiliza funciones AWS Identity and Access Management vinculadas al servicio (IAM). Un rol vinculado a un servicio es un tipo único de rol de IAM que está vinculado directamente a Compute Optimizer. Service-linked Compute Optimizer predefine los roles e incluyen todos los permisos que el servicio requiere para llamar a otros en tu nombre.

Con un rol vinculado a servicios, la configuración de Compute Optimizer no requiere agregar manualmente los permisos necesarios. Compute Optimizer define los permisos de sus roles vinculados a servicios y, a menos que esté definido de otra manera, solo Compute Optimizer puede asumir sus roles. Los permisos definidos incluyen las políticas de confianza y de permisos, y que la política de permisos no se pueda asociar a ninguna otra entidad de IAM.

Para obtener información acerca de otros servicios que son compatibles con roles vinculados a servicios, consulte Servicios de AWS que funcionan con IAM y busque los servicios en los que se indica en la columna Rol vinculado a servicios. Elija una opción con un enlace para ver la documentación acerca del rol vinculado al servicio en cuestión.

Service-linked permisos de rol para Compute Optimizer

Compute Optimizer usa el rol vinculado al servicio que se denomina para AWSServiceRoleForComputeOptimizeracceder a las CloudWatch métricas de Amazon para AWS los recursos de la cuenta.

El rol AWSServiceRoleForComputeOptimizer vinculado al servicio confía en los siguientes servicios para asumir el rol:

  • compute-optimizer.amazonaws.com

La política de permisos del rol permite que Compute Optimizer realice las siguientes acciones en los recursos especificados:

  • Acción: cloudwatch:GetMetricData en todos AWS los recursos.

  • Acción: cloudwatch:DescribeAlarms sobre todos los AWS recursos.

  • Acción: organizations:DescribeOrganization sobre todos los AWS recursos.

  • Acción: organizations:ListAccounts sobre todos los AWS recursos.

  • Acción: organizations:ListAWSServiceAccessForOrganization en todos los recursos de AWS .

  • Acción: organizations:ListDelegatedAdministrators en todos los recursos de AWS .

  • Acción: autoscaling:DescribeAutoScalingInstances en todos los recursos de AWS .

  • Acción: autoscaling:DescribeAutoScalingGroups en todos los recursos de AWS .

  • Acción: autoscaling:DescribePolicies en todos los recursos de AWS .

  • Acción: autoscaling:DescribeScheduledActions en todos los recursos de AWS .

  • Acción: ec2:DescribeInstances en todos los recursos de AWS .

  • Acción: ec2:DescribeSnapshots en todos los recursos de AWS .

  • Acción: ec2:DescribeVolumesModifications en todos los recursos de AWS .

  • Acción: ec2:CreateVolume en todos los recursos de AWS .

  • Acción: ec2:ModifyVolume en todos los recursos de AWS .

  • Acción: ec2:DeleteVolume en todos los recursos de AWS .

  • Acción: ec2:CreateSnapshot en todos los recursos de AWS .

  • Acción: ec2:createTags en todos los recursos de AWS .

  • Acción: ec2:DescribeNatGateways sobre todos los AWS recursos.

  • Acción: ec2:DescribeRouteTables sobre todos los AWS recursos.

  • Acción: elasticache:DescribeCacheClusters sobre todos los AWS recursos.

  • Acción: elasticache:DescribeServerlessCaches sobre todos los AWS recursos.

  • Acción: memorydb:DescribeClusters sobre todos los AWS recursos.

  • Acción: rds:DescribeDBClusters sobre todos los AWS recursos.

  • Acción: dynamodb:ListTables sobre todos los AWS recursos.

  • Acción: dynamodb:DescribeTable sobre todos los AWS recursos.

  • Acción: workspaces:DescribeWorkspaces sobre todos los AWS recursos.

  • Acción: workspaces:DescribeWorkspacesConnectionStatus sobre todos los AWS recursos.

  • Acción: sagemaker:ListEndpoints sobre todos los AWS recursos.

  • Acción: sagemaker:DescribeEndpoint sobre todos los AWS recursos.

Service-linked permisos de rol

Para crear un rol vinculado a servicios para Compute Optimizer, configure los permisos para permitir a una entidad de IAM (usuario, un grupo o un rol) crear un rol vinculado a servicios. Para obtener más información, consulte los permisos de Service-Linked rol en la Guía del usuario de IAM.

Para permitir a una entidad de IAM que cree un rol vinculado a un servicio específico para Compute Optimizer

Agregue la siguiente política a la entidad de IAM que necesite crear el rol vinculado con un servicio.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" }, { "Effect": "Allow", "Action": "organizations:DescribeOrganization", "Resource": "*" } ] }

Para permitir a una entidad de IAM crear un rol vinculado a cualquier servicio

Agregue la siguiente instrucción a la política de permisos de la entidad de IAM que necesite crear un rol vinculado con un servicio o cualquier función de servicio que incluya las políticas necesarias. Esta política asocia una política al rol.

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

Para permitir que Compute Optimizer lleve a cabo las acciones recomendadas en nombre de los clientes

Agrega una declaración a la política de permisos de la entidad de IAM que necesite crear un rol vinculado al servicio o cualquier rol de servicio que incluya las políticas necesarias. Esta política asocia una política al rol. Para obtener más información, consulte la AWS política gestionada: ComputeOptimizerAutomationServiceRolePolicy página de políticas gestionadas.

Creación de un Service-Linked rol para Compute Optimizer

No necesita crear manualmente un rol vinculado a servicios. Cuando optas por el servicio Compute Optimizer en la Consola de administración de AWS, la o la AWS API AWS CLI, Compute Optimizer crea el rol vinculado al servicio por ti.

importante

Este rol vinculado al servicio puede aparecer en su cuenta si se ha completado una acción en otro servicio que utilice las características compatibles con este rol. Para obtener más información, consulte Un nuevo rol ha aparecido en la cuenta de IAM.

Si elimina este rol vinculado a servicios y necesita crearlo de nuevo, puede utilizar el mismo proceso para volver a crear el rol en su cuenta. Cuando activa la participación en el servicio de Compute Optimizer, Compute Optimizer se encarga de crear el rol vinculado a servicios de nuevo.

Edición de un Service-Linked rol para Compute Optimizer

Compute Optimizer no te permite editar el rol vinculado al AWSServiceRoleForComputeOptimizer servicio. Después de crear un rol vinculado a un servicio, no puede cambiarle el nombre, ya que varias entidades pueden hacer referencia a él. Sin embargo, puede editar la descripción del rol mediante IAM. Para obtener más información, consulta Cómo editar un Service-Linked rol en la Guía del usuario de IAM.

Eliminar un Service-Linked rol para Compute Optimizer

Te recomendamos que, si ya no necesitas usar Compute Optimizer, elimines la función vinculada al AWSServiceRoleForComputeOptimizer servicio. De esta forma, no tiene una entidad no utilizada que no se monitoree ni mantenga de forma activa. Sin embargo, antes de poder eliminar manualmente el rol vinculado al servicio, debe desactivar Compute Optimizer.

Para desactivar Compute Optimizer

Para obtener información sobre cómo desactivar Compute Optimizer, consulte Cancelación de la suscripción a Compute Optimizer.

Para eliminar manualmente el rol vinculado a servicios mediante IAM

Usa la consola de IAM AWS CLI, la o la AWS API para eliminar la función vinculada al servicio. AWSServiceRoleForComputeOptimizer Para obtener más información, consulte Eliminar un Service-Linked rol en la Guía del usuario de IAM.

Regiones admitidas para los roles vinculados al servicio de Compute Optimizer

Compute Optimizer admite el uso de roles vinculados a servicios en todas las regiones en las que el servicio esté disponible. Para ver las Regiones de AWS y los puntos de conexión admitidos actualmente para Compute Optimizer, consulte Compute Optimizer Endpoints and Quotas en la Referencia general de AWS .

Recursos adicionales