View a markdown version of this page

Menggunakan peran terkait layanan untuk AWS Compute Optimizer - AWS Compute Optimizer

Terjemahan disediakan oleh mesin penerjemah. Jika konten terjemahan yang diberikan bertentangan dengan versi bahasa Inggris aslinya, utamakan versi bahasa Inggris.

Menggunakan peran terkait layanan untuk AWS Compute Optimizer

AWS Compute Optimizer menggunakan AWS Identity and Access Management peran terkait layanan (IAM). Peran terkait layanan adalah jenis unik peran IAM yang ditautkan langsung ke Compute Optimizer. Service-linked peran telah ditentukan sebelumnya oleh Compute Optimizer dan menyertakan semua izin yang diperlukan layanan untuk memanggil orang lain atas nama Anda.

Dengan peran terkait layanan, menyiapkan Compute Optimizer tidak memerlukan penambahan izin yang diperlukan secara manual. Compute Optimizer mendefinisikan izin dari peran yang ditautkan layanan, dan kecuali ditentukan lain, hanya Compute Optimizer yang dapat menjalankan perannya. Izin yang ditentukan mencakup kebijakan kepercayaan dan kebijakan izin, serta bahwa kebijakan izin tidak dapat dilampirkan ke entitas IAM lainnya.

Untuk informasi tentang layanan lain yang mendukung peran terkait layanan, lihat AWS Layanan yang Bekerja dengan IAM dan cari layanan yang memiliki Ya di kolom Peran. Pilih Ya dengan sebuah tautan untuk melihat dokumentasi peran terkait layanan untuk layanan tersebut.

Service-linked izin peran untuk Compute Optimizer

Compute Optimizer menggunakan peran terkait layanan yang diberi nama AWSServiceRoleForComputeOptimizeruntuk mengakses metrik CloudWatch AWS Amazon untuk sumber daya di akun.

Peran AWSServiceRoleForComputeOptimizer terkait layanan mempercayai layanan berikut untuk mengambil peran:

  • compute-optimizer.amazonaws.com

Kebijakan izin peran memungkinkan Compute Optimizer menyelesaikan tindakan berikut pada sumber daya yang ditentukan:

  • Tindakan: cloudwatch:GetMetricData pada semua AWS sumber daya.

  • Tindakan: cloudwatch:DescribeAlarms pada semua AWS sumber daya.

  • Tindakan: organizations:DescribeOrganization pada semua AWS sumber daya.

  • Tindakan: organizations:ListAccounts pada semua AWS sumber daya.

  • Tindakan: organizations:ListAWSServiceAccessForOrganization pada semua AWS sumber daya.

  • Tindakan: organizations:ListDelegatedAdministrators pada semua AWS sumber daya.

  • Tindakan: autoscaling:DescribeAutoScalingInstances pada semua AWS sumber daya.

  • Tindakan: autoscaling:DescribeAutoScalingGroups pada semua AWS sumber daya.

  • Tindakan: autoscaling:DescribePolicies pada semua AWS sumber daya.

  • Tindakan: autoscaling:DescribeScheduledActions pada semua AWS sumber daya.

  • Tindakan: ec2:DescribeInstances pada semua AWS sumber daya.

  • Tindakan: ec2:DescribeSnapshots pada semua AWS sumber daya.

  • Tindakan: ec2:DescribeVolumesModifications pada semua AWS sumber daya.

  • Tindakan: ec2:CreateVolume pada semua AWS sumber daya.

  • Tindakan: ec2:ModifyVolume pada semua AWS sumber daya.

  • Tindakan: ec2:DeleteVolume pada semua AWS sumber daya.

  • Tindakan: ec2:CreateSnapshot pada semua AWS sumber daya.

  • Tindakan: ec2:createTags pada semua AWS sumber daya.

  • Tindakan: ec2:DescribeNatGateways pada semua AWS sumber daya.

  • Tindakan: ec2:DescribeRouteTables pada semua AWS sumber daya.

  • Tindakan: elasticache:DescribeCacheClusters pada semua AWS sumber daya.

  • Tindakan: elasticache:DescribeServerlessCaches pada semua AWS sumber daya.

  • Tindakan: memorydb:DescribeClusters pada semua AWS sumber daya.

  • Tindakan: rds:DescribeDBClusters pada semua AWS sumber daya.

  • Tindakan: dynamodb:ListTables pada semua AWS sumber daya.

  • Tindakan: dynamodb:DescribeTable pada semua AWS sumber daya.

  • Tindakan: workspaces:DescribeWorkspaces pada semua AWS sumber daya.

  • Tindakan: workspaces:DescribeWorkspacesConnectionStatus pada semua AWS sumber daya.

  • Tindakan: sagemaker:ListEndpoints pada semua AWS sumber daya.

  • Tindakan: sagemaker:DescribeEndpoint pada semua AWS sumber daya.

Service-linked izin peran

Untuk membuat peran terkait layanan untuk Compute Optimizer, konfigurasikan izin agar entitas IAM (seperti pengguna, grup, atau peran) membuat peran terkait layanan. Untuk informasi selengkapnya, lihat Izin Service-Linked Peran di Panduan Pengguna IAM.

Untuk mengizinkan entitas IAM membuat peran terkait layanan tertentu untuk Compute Optimizer

Tambahkan kebijakan berikut ke entitas IAM yang perlu membuat peran tertaut-layanan.

JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" } ] }
JSON
{ "Version":"2012-10-17", "Statement": [ { "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*", "Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}} }, { "Effect": "Allow", "Action": "iam:PutRolePolicy", "Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer" }, { "Effect": "Allow", "Action": "compute-optimizer:UpdateEnrollmentStatus", "Resource": "*" }, { "Effect": "Allow", "Action": "organizations:DescribeOrganization", "Resource": "*" } ] }

Untuk mengizinkan entitas IAM membuat peran terkait layanan apa pun

Tambahkan pernyataan berikut ke kebijakan izin untuk entitas IAM yang perlu membuat peran tertaut-layanan, atau peran layanan apa pun yang menyertakan kebijakan yang diperlukan. Kebijakan ini melampirkan sebuah kebijakan pada peran tersebut.

{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }

Untuk memungkinkan Compute Optimizer melakukan tindakan yang disarankan atas nama pelanggan

Tambahkan pernyataan ke kebijakan izin untuk entitas IAM yang perlu membuat peran terkait layanan, atau peran layanan apa pun yang menyertakan kebijakan yang diperlukan. Kebijakan ini melampirkan sebuah kebijakan pada peran tersebut. Untuk informasi selengkapnya, lihat AWS kebijakan terkelola: ComputeOptimizerAutomationServiceRolePolicy di halaman kebijakan terkelola.

Membuat Service-Linked Peran untuk Compute Optimizer

Anda tidak perlu membuat peran terkait layanan secara manual. Saat Anda memilih layanan Compute Optimizer di, the, atau API, AWS CLI Compute Optimizer AWS akan membuat peran yang ditautkan layanan untuk Anda. Konsol Manajemen AWS

penting

Jika Anda menyelesaikan tindakan di layanan lain yang menggunakan fitur yang didukung oleh peran terkait layanan, peran tersebut dapat muncul di akun Anda. Untuk informasi selengkapnya, lihat Peran Baru yang Muncul di Akun IAM Saya.

Jika Anda menghapus peran terkait layanan ini, dan ingin membuatnya lagi, Anda dapat mengulangi proses yang sama untuk membuat kembali peran tersebut di akun Anda. Saat Anda memilih layanan Compute Optimizer, Compute Optimizer akan membuat peran terkait layanan untuk Anda lagi.

Mengedit Service-Linked Peran untuk Compute Optimizer

Compute Optimizer tidak memungkinkan Anda mengedit AWSServiceRoleForComputeOptimizer peran terkait layanan. Setelah membuat peran terkait layanan, Anda tidak dapat mengubah nama peran karena berbagai entitas mungkin mereferensikan peran tersebut. Namun, Anda dapat menyunting penjelasan peran menggunakan IAM. Untuk informasi selengkapnya, lihat Mengedit Service-Linked Peran di Panduan Pengguna IAM.

Menghapus Service-Linked Peran untuk Compute Optimizer

Sebaiknya, jika Anda tidak perlu lagi menggunakan Compute Optimizer, Anda menghapus AWSServiceRoleForComputeOptimizer peran terkait layanan. Dengan begitu Anda tidak memiliki entitas yang tidak terpakai yang tidak dipantau atau dipelihara secara aktif. Namun, sebelum Anda dapat menghapus peran terkait layanan secara manual, Anda harus memilih keluar dari Compute Optimizer.

Untuk memilih keluar dari Compute Optimizer

Untuk informasi tentang memilih keluar dari Compute Optimizer, lihat. Memilih keluar dari Compute Optimizer

Untuk menghapus peran tertaut layanan secara manual menggunakan IAM

Gunakan konsol IAM, the AWS CLI, atau AWS API untuk menghapus peran AWSServiceRoleForComputeOptimizer terkait layanan. Untuk informasi selengkapnya, lihat Menghapus Service-Linked Peran di Panduan Pengguna IAM.

Wilayah yang Didukung untuk Peran terkait layanan Compute Optimizer

Compute Optimizer mendukung penggunaan peran terkait layanan di semua Wilayah tempat layanan tersedia. Untuk melihat titik akhir Wilayah AWS dan titik akhir Compute Optimizer yang saat ini didukung, lihat Titik Akhir dan Kuota Compute Optimizer di Referensi Umum.AWS

Sumber daya tambahan