As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
# Começando com AWS Compute Optimizer
Quando você acessa o AWS Compute Optimizer console pela primeira vez, é solicitado que você opte por usar a conta com a qual está conectado. Antes de usar o serviço, você precisa decidir se aceita ou cancela a opção. Além disso, você também pode ativar ou desativar usando a API Compute Optimizer AWS Command Line Interface ,AWS CLI() ou. SDKs
Ao se inscrever, você autoriza o Compute Optimizer a analisar as especificações e as métricas de utilização de seus recursos. AWS Os exemplos incluem instâncias do EC2 e grupos do EC2 Auto Scaling.
**nota**
Para melhorar a qualidade de recomendação do Compute Optimizer, a Amazon Web Services pode usar CloudWatch suas métricas e dados de configuração. Isso inclui até três meses (93 dias) de análise de métricas quando você ativa o atributo aprimorado de métricas de infraestrutura. Entre em contato [AWS Support](https://console.aws.amazon.com/support)para solicitar que AWS pare de usar suas CloudWatch métricas e dados de configuração para melhorar a qualidade das recomendações do Compute Optimizer.
## Permissões obrigatórias
Você deve ter as permissões apropriadas para usar o Compute Optimizer, ver suas recomendações e optar por não usar. Para obter mais informações, consulte [Identity and Access Management para AWS Compute Optimizer](security-iam.md).
Quando você opta por usar, o Compute Optimizer cria automaticamente uma função vinculada ao serviço na sua conta para acessar seus dados. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md).
## Contas aceitas pelo Compute Optimizer
Os seguintes Conta da AWS tipos podem optar pelo Compute Optimizer:
+ **Conta autônoma AWS **
Um autônomo Conta da AWS que não está AWS Organizations ativado. Se você optar por usar o Compute Optimizer enquanto se conecta a uma conta autônoma, o Compute Optimizer analisará os recursos na conta e gerará recomendações de otimização para esses recursos.
+ **Conta de membro de uma organização**
E Conta da AWS isso é membro de uma organização. Se você optar por usar o Compute Optimizer enquanto se conecta a uma conta de membro de uma organização, o Compute Optimizer analisa apenas os recursos na conta de membro e gera recomendações de otimização para esses recursos.
+ **Conta de gerenciamento de uma organização**
E Conta da AWS isso administra uma organização. Se você optar por usar o Compute Optimizer enquanto se conecta a uma conta de gerenciamento de uma organização, o Compute Optimizer possibilitará que você escolha apenas a conta de gerenciamento ou a conta de gerenciamento e todas as contas de membro da organização.
**Importante**
Para ativar todas as contas de membros de uma organização, verifique se a organização tem todos os atributos habilitados. Para obter mais informações, consulte [Habilitar todos os recursos na sua organização ](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_manage_org_support-all-features.html) no *Manual do usuário do AWS Organizations *.
Quando você opta por usar a conta de gerenciamento da organização e inclui todas as contas dos membros dela, o acesso confiável ao Compute Optimizer é habilitado na conta da organização. Para obter mais informações, consulte [Acesso confiável para AWS Organizations](security-iam.md#trusted-service-access).
## Próximas etapas
Para obter instruções sobre como ativar sua conta ou as contas de sua organização AWS Compute Optimizer, consulte[Optando por AWS Compute Optimizer](account-opt-in.md).
## Recursos adicionais do
+ [Identity and Access Management para AWS Compute Optimizer](security-iam.md)
+ [AWS políticas gerenciadas para AWS Compute Optimizer](managed-policies.md)
+ [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md)
# Optando por AWS Compute Optimizer
Use o procedimento a seguir para incluir sua conta ou as contas de sua organização para o AWS Compute Optimizer. Você pode optar por usar o console do Compute Optimizer ou AWS Command Line Interface o ().AWS CLI
**nota**
Se sua conta já usa essa opção, mas você quiser se cadastrar novamente para reativar o acesso confiável ao Compute Optimizer em sua organização. Você pode optar por usar novamente, porém deverá usar a AWS CLI. Ao optar por usar o AWS CLI, execute o `update-enrollment-status` comando e especifique o `--include-member-accounts` parâmetro. Como alternativa, você pode ativar o acesso confiável diretamente no AWS Organizations console AWS CLI ou usando nossa API. Para obter mais informações, consulte [Usar o AWS Organizations com outro Serviços da AWS](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no *Guia do usuário do AWS Organizations *.
## Pré-requisitos
Sua identidade do IAM deve ter as permissões apropriadas para optar pelo AWS Compute Optimizer. A política sugerida que concede essa permissão é [Política de aceitação de uso do Compute Optimizer](security-iam.md#opting-in-access).
## Procedimento
------
#### [ Console ]
**Como optar pelo Compute Optimizer**
1. Abra o console do Compute Optimizer em. [https://console.aws.amazon.com/compute-optimizer/](https://console.aws.amazon.com/compute-optimizer/)
Se esta for a primeira vez que você usa o console do Compute Optimizer, a **página inicial do Compute Optimizer** será exibida.
1. Escolha **Começar**.
1. Na página **Configuração da conta**, veja as seções **Introdução** e **Configurar sua conta**.
1. As opções a seguir serão exibidas se a conta à qual você se conectou for a conta de gerenciamento da sua organização. Escolha uma opção antes de ir para a próxima etapa.
+ **Somente esta conta** - Escolha essa opção para ativar somente a conta à qual você se conectou no momento. Se você escolher essa opção, o Compute Optimizer analisará os recursos que estão na conta individual e gerará recomendações de otimização para esses recursos.
+ **Todas as contas desta organização** - Escolha essa opção para ativar a conta à qual você se conectou no momento e todas as suas contas de membros. Se você escolher essa opção, o Compute Optimizer analisará os recursos que estão em todas as contas da organização e gerará recomendações de otimização para esses recursos.
**nota**
Se você adicionar novas contas de membro à sua organização depois de aceitar a opção, o Compute Optimizer automaticamente ativará essas contas.
1. Escolha **Aceitar**. Ao aceitar, você indica que concorda e compreende os requisitos para usar o Compute Optimizer.
Depois de aceitar, você acessará o painel no console do Compute Optimizer. Ao mesmo tempo, o serviço começa imediatamente a analisar as métricas de configuração e utilização de seus AWS recursos. Para obter mais informações, consulte [Métricas analisadas por AWS Compute Optimizer](metrics.md).
**nota**
Após a conclusão do processo de inclusão, pode levar até 24 horas para que as contas incluídas apareçam no console do Compute Optimizer.
------
#### [ CLI ]
**Como optar pelo Compute Optimizer**
1. Abra um terminal ou uma janela do prompt de comando.
Se você ainda não instalou o AWS CLI , instale-o e configure-o para funcionar com o Compute Optimizer. Para obter mais informações, consulte [Instalar a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) e [Configurar rapidamente a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html#cli-quick-configuration) no *Guia do usuário da AWS Command Line Interface *.
1. Insira um dos seguintes comandos: Escolha se você deseja optar por usar sua conta individual ou a conta de gerenciamento da organização e todas as suas contas de membros.
+ Para usar sua conta individual:
```
aws compute-optimizer update-enrollment-status --status Active
```
+ Para usar a conta de gerenciamento de uma organização e incluir todas as contas de membros da organização:
```
aws compute-optimizer update-enrollment-status --status Active --include-member-accounts
```
Depois de optar pelo Compute Optimizer usando o comando anterior, o serviço começa a analisar as métricas de configuração e utilização dos seus recursos. AWS Para obter mais informações, consulte [Métricas analisadas por AWS Compute Optimizer](metrics.md).
------
## Próximas etapas
+ Certifique-se de que seus AWS recursos atendam aos requisitos necessários para que o Compute Optimizer gere suas recomendações. Além disso, aguarde pelo menos 24 horas para que as recomendações de otimização sejam geradas. Para obter mais informações, consulte [Requisitos de recursos](requirements.md).
+ Veja as descobertas e recomendações no painel e nas páginas de recomendação do console do Compute Optimizer. Para obter mais informações, consulte [Usando o AWS Compute Optimizer painel](viewing-dashboard.md) e [Visualização de recomendações de recursos](viewing-recommendations.md).
+ Estenda o período retroativo do período padrão de 14 dias para 93 dias ativando o recurso de métricas aprimoradas de infraestrutura. Para obter mais informações, consulte [Métricas de infraestrutura aprimorada](enhanced-infrastructure-metrics.md).
+ Com a conta de gerenciamento da organização, você pode delegar uma conta de membro como administrador do Compute Optimizer. Para obter mais informações, consulte [Delegar uma conta de administrador](delegate-administrator-account.md).
## Recursos adicionais do
+ [Identity and Access Management para AWS Compute Optimizer](security-iam.md)
+ [AWS políticas gerenciadas para AWS Compute Optimizer](managed-policies.md)
+ [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md)
+ Solução de problemas: [Solução de problemas no Compute Optimizer](troubleshooting-account-opt-in.md)
# Para rejeitar o Compute Optimizer
Use o procedimento a seguir para excluir sua conta do Compute Optimizer usando a AWS CLI. Esse procedimento também exclui as recomendações da sua conta e os dados de métricas correspondentes do Compute Optimizer. Para obter mais informações, consulte [update-enrollment-status](https://docs.aws.amazon.com/cli/latest/reference/compute-optimizer/update-enrollment-status.html) na *Referência de comandos da AWS CLI *.
**nota**
Não é possível cancelar a opção usando o console do Compute Optimizer.
## Procedimento
**Como excluir uma conta do Compute Optimizer**
1. Abra um terminal ou uma janela do prompt de comando.
Se ainda não o fez, instale o AWS CLI e configure-o para funcionar com o Compute Optimizer. Para obter mais informações, consulte [Instalar a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-install.html) e [Configurar rapidamente a AWS CLI](https://docs.aws.amazon.com/cli/latest/userguide/cli-chap-configure.html#cli-quick-configuration) no *Guia do usuário da AWS Command Line Interface *.
1. Insira o comando a seguir.
```
aws compute-optimizer update-enrollment-status --status Inactive
```
**nota**
Você não pode especificar o parâmetro `--include-member-accounts` ao fazer o cancelamento usando o comando `update-enrollment-status`. Se você usar esse comando para especificar o parâmetro durante o cancelamento da opção, ocorrerá um erro.
Sua conta será excluída do Compute Optimizer depois que você executar o comando anterior. Além disso, isso também exclui as recomendações da sua conta e os dados de métricas relacionados do Compute Optimizer. Se você acessar o console do Compute Optimizer, a opção de ativar novamente deverá ser exibida.
# Identity and Access Management para AWS Compute Optimizer
Você pode usar AWS Identity and Access Management (IAM) para criar identidades (usuários, grupos ou funções) e conceder a essas identidades permissões para acessar o AWS Compute Optimizer console e. APIs
Por padrão, os usuários do IAM não têm acesso ao console do Compute Optimizer e. APIs Para conceder acesso aos usuários, você pode anexar políticas do IAM a um único usuário, um grupo de usuários ou uma função. Para obter mais informações, consulte [Identidades (usuários, grupos e funções)](https://docs.aws.amazon.com/IAM/latest/UserGuide/id.html) e [Visão geral das políticas do IAM no Guia do usuário do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/PoliciesOverview.html).
Depois de criar usuários do IAM, é possível oferecer a esses usuários senhas individuais. Em seguida, eles poderão fazer login em sua conta e exibir as informações do Compute Optimizer usando uma página de login específica da conta. Para obter mais informações, consulte [Como usuários fazem login na conta](https://docs.aws.amazon.com/IAM/latest/UserGuide/getting-started_how-users-sign-in.html).
**Importante**
Para ver as recomendações para instâncias do EC2, o usuário do IAM precisa da permissão `ec2:DescribeInstances`.
Para ver as recomendações para volumes do EBS, o usuário do IAM precisa da permissão `ec2:DescribeVolumes`.
Para ver as recomendações para grupos do EC2 Auto Scaling, um usuário do IAM `autoscaling:DescribeAutoScalingGroups` precisa `autoscaling:DescribeAutoScalingInstances` das permissões e.
Para ver recomendações para funções do Lambda, o usuário do IAM precisa das permissões `lambda:ListFunctions` e `lambda:ListProvisionedConcurrencyConfigs`.
Para ver recomendações para serviços do Amazon ECS no Fargate, o usuário do IAM precisa das permissões `ecs:ListServices` e `ecs:ListClusters`.
Para visualizar os dados de CloudWatch métricas atuais no console do Compute Optimizer, um usuário do IAM precisa da permissão. `cloudwatch:GetMetricData`
Para ver recomendações de licenças de software comercial, certas funções de instâncias do Amazon EC2 e permissões de usuário do IAM são necessárias. Para ter mais informações, consulte [Políticas para permitir recomendações de licenças de software comercial](#license-access).
Para visualizar recomendações referentes ao Amazon RDS, o usuário do IAM precisa das permissões `rds:DescribeDBInstances` e `rds:DescribeDBClusters`.
Se o usuário ou grupo ao qual você deseja conceder permissões já tem uma política, é possível adicionar a essa política uma instrução específica do Compute Optimizer demonstrada aqui.
**Topics**
+ [Acesso confiável para AWS Organizations](#trusted-service-access)
+ [Exemplos de políticas para o Compute Optimizer](#CO-policy-examples)
+ [Exemplos de políticas para automação](#COA-policy-example)
+ [Recursos adicionais do](#iam-resources)
## Acesso confiável para AWS Organizations
Quando você opta por usar a conta de gerenciamento da organização e inclui todas as contas dos membros dela, o acesso confiável ao Compute Optimizer é habilitado automaticamente na conta da organização. Isso permite que o Compute Optimizer analise os recursos computacionais nessas contas de membros e gere recomendações para elas.
Sempre que você acessa recomendações para contas de membros, o Compute Optimizer verifica se o acesso confiável está habilitado na conta da sua organização. Se você desabilitar o acesso confiável do Compute Optimizer depois de aceitar a opção, o Compute Optimizer negará o acesso às recomendações para as contas de membros da organização. Além disso, as contas de membros da organização não estão habilitadas para o Compute Optimizer. Para reativar o acesso confiável, opte por usar o Compute Optimizer novamente usando a conta de gerenciamento da organização e inclua todas as contas de membros na organização. Para obter mais informações, consulte [Optando por AWS Compute Optimizer](account-opt-in.md). Para obter mais informações sobre acesso AWS Organizations confiável, consulte [Usando AWS Organizations com outros AWS serviços](https://docs.aws.amazon.com/organizations/latest/userguide/orgs_integrate_services.html) no *Guia do AWS Organizations usuário*.
## Exemplos de políticas para o Compute Optimizer
**Topics**
+ [Política de aceitação de uso do Compute Optimizer](#opting-in-access)
+ [Políticas para conceder acesso ao Compute Optimizer para uso autônomo Contas da AWS](#standalone-account-access)
+ [Políticas para conceder acesso ao Compute Optimizer para uma conta de gerenciamento de uma organização](#organization-account-access)
+ [Políticas para conceder acesso para gerenciar as preferências de recomendação do Compute Optimizer](#enhanced-infrastructure-metrics-permissions)
+ [Políticas para permitir recomendações de licenças de software comercial](#license-access)
+ [Política para negar acesso ao Compute Optimizer](#deny-access)
### Política de aceitação de uso do Compute Optimizer
Esta declaração de política concede o seguinte:
+ Acesso para optar pelo Compute Optimizer.
+ Acesso para criar um perfil vinculado ao serviço do Compute Optimizer. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md).
+ Acesso para atualizar o status da inscrição no serviço Compute Optimizer.
**Importante**
Esse perfil do IAM é necessário para optar pelo AWS Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acesso ao Compute Optimizer para uso autônomo Contas da AWS
A declaração de política a seguir concede acesso total ao Compute Optimizer para Contas da AWS autônomas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
A declaração de política a seguir concede acesso somente leitura ao Compute Optimizer para Contas da AWS autônomas.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acesso ao Compute Optimizer para uma conta de gerenciamento de uma organização
A declaração de política a seguir concede acesso total ao Compute Optimizer para uma conta de gerenciamento da sua organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:*",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
------
A declaração de política a seguir concede acesso somente leitura ao Compute Optimizer para uma conta de gerenciamento da sua organização.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:ListDelegatedAdministrators",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
### Políticas para conceder acesso para gerenciar as preferências de recomendação do Compute Optimizer
As declarações de política a seguir concedem acesso para visualizar e editar preferências de recomendação.
**Conceder acesso para gerenciar preferências de recomendação somente para instâncias do EC2**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "Ec2Instance"
}
}
}
]
}
```
------
**Conceda acesso para gerenciar preferências de recomendação somente para grupos do EC2 Auto Scaling**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "AutoScalingGroup"
}
}
}
]
}
```
------
**Conceder acesso para gerenciar preferências de recomendação somente para instâncias do RDS**
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DeleteRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:PutRecommendationPreferences"
],
"Resource": "*",
"Condition" : {
"StringEquals" : {
"compute-optimizer:ResourceType" : "RdsDBInstance"
}
}
}
]
}
```
------
### Políticas para permitir recomendações de licenças de software comercial
Para que o Compute Optimizer gere recomendações de licença, anexe as funções e políticas de instâncias do Amazon EC2 a seguir.
+ A função `AmazonSSMManagedInstanceCore` para habilitar o Systems Manager. Para obter mais informações, consulte [Exemplos de políticas baseadas em identidade do AWS Systems Manager](https://docs.aws.amazon.com//systems-manager/latest/userguide/security_iam_id-based-policy-examples) no *Guia do usuário do AWS Systems Manager *.
+ A `CloudWatchAgentServerPolicy` política para permitir a liberação de métricas e registros da instância para CloudWatch. Para obter mais informações, consulte [Criar funções e usuários do IAM para uso com o CloudWatch agente](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/create-iam-roles-for-cloudwatch-agent) no *Guia CloudWatch do usuário da Amazon*.
+ A seguinte declaração de política em linha do IAM para ler a cadeia de conexão secreta do Microsoft SQL Server armazenada em AWS Systems Manager. Para obter mais informações sobre políticas em linha, consulte [ Políticas gerenciadas e em linha](https://docs.aws.amazon.com//IAM/latest/UserGuide/access_policies_managed-vs-inline) no *Guia do usuário do AWS Identity and Access Management *.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"secretsmanager:GetSecretValue*"
],
"Resource": "arn:aws:secretsmanager:*:*:secret:ApplicationInsights-*"
}
]
}
```
------
Além disso, para habilitar e receber recomendações de licença, anexe a política do IAM a seguir ao seu usuário, grupo ou função. Para obter mais informações, [consulte a política do IAM](https://docs.aws.amazon.com//AmazonCloudWatch/latest/monitoring/appinsights-iam) no *Guia CloudWatch do usuário da Amazon*.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Action": [
"applicationinsights:*",
"iam:CreateServiceLinkedRole",
"iam:ListRoles",
"resource-groups:ListGroups"
],
"Effect": "Allow",
"Resource": "*"
}
]
}
```
------
### Política para negar acesso ao Compute Optimizer
A declaração de política a seguir nega o acesso ao Compute Optimizer.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Deny",
"Action": "compute-optimizer:*",
"Resource": "*"
}
]
}
```
------
## Exemplos de políticas para automação
**Topics**
+ [Política para permitir a automação na sua conta](#policy-automation-enable)
+ [Política para permitir a automação em toda a sua organização](#automation-enable-org)
+ [Política para conceder acesso total à Automação do Compute Optimizer para contas autônomas AWS](#automation-account-full)
+ [Política para conceder acesso somente de leitura à Automação do Compute Optimizer para contas autônomas AWS](#automation-account-read)
+ [Política para conceder acesso total ao Compute Optimizer Automation para uma conta gerencial de uma organização](#automation-account-mgmt)
+ [Política para conceder acesso somente leitura ao Compute Optimizer Automation para uma conta gerencial de uma organização](#automation-account-mgmt-readonly)
### Política para permitir a automação na sua conta
A declaração de política a seguir ativa a automação para sua conta.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
}
]
}
```
### Política para permitir a automação em toda a sua organização
A declaração de política a seguir permite a automação em toda a sua organização.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": [
"iam:PutRolePolicy",
"iam:AttachRolePolicy"
],
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
},
{
"Effect": "Allow",
"Action": "aco-automation:UpdateEnrollmentConfiguration",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:AssociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:DisassociateAccounts",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "aco-automation:ListAccounts",
"Resource": "*"
}
]
}
```
### Política para conceder acesso total à Automação do Compute Optimizer para contas autônomas AWS
A política a seguir concede acesso total à Automação do Compute Optimizer para contas autônomas. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acesso somente de leitura à Automação do Compute Optimizer para contas autônomas AWS
A política a seguir concede acesso somente de leitura à Automação do Compute Optimizer para contas autônomas. AWS
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
### Política para conceder acesso total ao Compute Optimizer Automation para uma conta gerencial de uma organização
A política a seguir concede acesso total à Automação do Compute Optimizer para uma conta de gerenciamento de uma organização.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:*",
"ec2:DescribeVolumes",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"organizations:EnableAWSServiceAccess",
"organizations:ListDelegatedAdministrators",
"organizations:RegisterDelegatedAdministrator",
"organizations:DeregisterDelegatedAdministrator"
],
"Resource": "*"
}
]
}
```
### Política para conceder acesso somente leitura ao Compute Optimizer Automation para uma conta gerencial de uma organização
A política a seguir concede acesso somente de leitura à Automação do Compute Optimizer para uma conta de gerenciamento de uma organização.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"aco-automation:GetEnrollmentConfiguration",
"aco-automation:GetAutomationEvent",
"aco-automation:GetAutomationRule",
"aco-automation:ListAccounts",
"aco-automation:ListAutomationEvents",
"aco-automation:ListAutomationEventSteps",
"aco-automation:ListAutomationEventSummaries",
"aco-automation:ListAutomationRules",
"aco-automation:ListAutomationRulePreview",
"aco-automation:ListAutomationRulePreviewSummaries",
"aco-automation:ListRecommendedActions",
"aco-automation:ListRecommendedActionSummaries",
"aco-automation:ListTagsForResource",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
## Recursos adicionais do
+ Solução de problemas: [Solução de problemas no Compute Optimizer](troubleshooting-account-opt-in.md)
+ [Optando por AWS Compute Optimizer](account-opt-in.md)
+ [AWS políticas gerenciadas para AWS Compute Optimizer](managed-policies.md)
+ [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md)
+ [Usando funções vinculadas a serviços para automação](using-service-linked-roles-automation.md)
# AWS políticas gerenciadas para AWS Compute Optimizer
Para adicionar permissões a usuários, grupos e funções, considere usar políticas AWS gerenciadas em vez de criar suas próprias políticas. É necessário tempo e experiência para criar [políticas gerenciadas pelo cliente do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_create-console.html) que fornecem à sua equipe apenas as permissões de que precisam. Para começar rapidamente, você pode usar políticas AWS gerenciadas. Essas políticas abrangem casos de uso comuns e estão disponíveis na sua Conta da AWS. Para obter mais informações sobre políticas AWS gerenciadas, consulte [políticas AWS gerenciadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_managed-vs-inline.html#aws-managed-policies) no *Guia do usuário do IAM*.
Serviços da AWS manter e atualizar políticas AWS gerenciadas. Você não pode alterar as permissões nas políticas AWS gerenciadas. Ocasionalmente, os serviços adicionam permissões adicionais a uma política AWS gerenciada para oferecer suporte a novos recursos. Esse tipo de atualização afeta todas as identidades (usuários, grupos e funções) em que a política está anexada. É mais provável que os serviços atualizem uma política AWS gerenciada quando um novo recurso é lançado ou quando novas operações são disponibilizadas. Os serviços não removem as permissões de uma política AWS gerenciada, portanto, as atualizações de políticas não violarão suas permissões existentes.
Além disso, a Amazon Web Services oferece suporte a políticas gerenciadas para funções de trabalho que abrangem vários serviços. Por exemplo, a política **ReadOnlyAccess** AWS gerenciada fornece acesso somente de leitura a todos os recursos. Quando um serviço lança um novo recurso, AWS adiciona permissões somente de leitura para novas operações e recursos. Para obter uma lista e descrições das políticas de perfis de trabalho, consulte [Políticas gerenciadas pela AWS para perfis de trabalho](https://docs.aws.amazon.com/IAM/latest/UserGuide/access_policies_job-functions.html) no *Guia do usuário do IAM*.
**Topics**
+ [AWS política gerenciada: ComputeOptimizerServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerServiceRolePolicy)
+ [AWS política gerenciada: ComputeOptimizerReadOnlyAccess](#security-iam-awsmanpol-ComputeOptimizerReadOnlyAccess)
+ [AWS política gerenciada: ComputeOptimizerAutomationServiceRolePolicy](#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy)
+ [Atualizações do Compute Optimizer para políticas gerenciadas AWS](#security-iam-awsmanpol-updates)
## AWS política gerenciada: ComputeOptimizerServiceRolePolicy
A política gerenciada pela `ComputeOptimizerServiceRolePolicy` é anexada a uma função vinculada ao serviço que permite que o Compute Optimizer realize ações em seu nome. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md).
**nota**
Não é possível anexar a `ComputeOptimizerServiceRolePolicy` às entidades do IAM.
**Detalhes das permissões**
Esta política inclui as seguintes permissões.
+ `compute-optimizer` — Concede todas as permissões administrativas a todos os recursos no Compute Optimizer.
+ `organizations` — Permite que a conta de gerenciamento de uma organização da AWS opte por incluir contas de membros da organização no Compute Optimizer.
+ `cloudwatch`— Concede acesso às métricas dos CloudWatch recursos com o objetivo de analisá-las e gerar recomendações de recursos do Compute Optimizer.
+ `autoscaling`— Concede acesso aos grupos do EC2 Auto Scaling e às instâncias nos grupos do EC2 Auto Scaling para fins de validação.
+ `Ec2` — Concede acesso às instâncias e aos volumes do Amazon EC2.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization",
"organizations:ListDelegatedAdministrators"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData",
"cloudwatch:DescribeAlarms"
],
"Resource": "*"
},
{
"Sid": "AutoScalingAccess",
"Effect": "Allow",
"Action": [
"autoscaling:DescribeAutoScalingInstances",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribePolicies",
"autoscaling:DescribeScheduledActions"
],
"Resource": "*"
},
{
"Sid": "Ec2Access",
"Effect": "Allow",
"Action": [
"ec2:DescribeInstances",
"ec2:DescribeVolumes"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Sid": "ComputeOptimizerFullAccess",
"Effect": "Allow",
"Action": [
"compute-optimizer:*"
],
"Resource": "*"
},
{
"Sid": "AwsOrgsAccess",
"Effect": "Allow",
"Action": [
"organizations:DescribeOrganization",
"organizations:ListAccounts",
"organizations:ListAWSServiceAccessForOrganization"
],
"Resource": [
"*"
]
},
{
"Sid": "CloudWatchAccess",
"Effect": "Allow",
"Action": [
"cloudwatch:GetMetricData"
],
"Resource": "*"
}
]
}
```
------
## AWS política gerenciada: ComputeOptimizerReadOnlyAccess
É possível anexar a política `ComputeOptimizerReadOnlyAccess` às suas identidades do IAM.
Esta política concede permissões de acesso somente leitura para que os usuários do IAM visualizem as recomendações de recursos do Compute Optimizer.
**Detalhes das permissões**
Esta política inclui o seguinte:
+ `compute-optimizer` — Concede acesso somente leitura às recomendações de recursos do Compute Optimizer.
+ `ec2` — Concede acesso somente leitura às instâncias e aos volumes do Amazon EBS.
+ `autoscaling`— Concede acesso somente de leitura aos grupos do EC2 Auto Scaling.
+ `lambda`— Concede acesso somente de leitura às AWS Lambda funções e suas configurações.
+ `cloudwatch`— Concede acesso somente de leitura aos dados CloudWatch métricos da Amazon para tipos de recursos que são suportados pelo Compute Optimizer.
+ `organizations`— Concede acesso somente para leitura às contas dos membros de uma AWS organização.
+ `ecs` — Concede acesso aos serviços do Amazon ECS no Fargate.
+ `rds`: concede acesso somente leitura a instâncias e clusters do Amazon RDS.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetRecommendationPreferences",
"compute-optimizer:GetEffectiveRecommendationPreferences",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendations",
"compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics",
"compute-optimizer:GetIdleRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"autoscaling:DescribeAutoScalingInstances",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount",
"rds:DescribeDBInstances",
"rds:DescribeDBClusters"
],
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": [
"compute-optimizer:DescribeRecommendationExportJobs",
"compute-optimizer:GetEnrollmentStatus",
"compute-optimizer:GetEnrollmentStatusesForOrganization",
"compute-optimizer:GetRecommendationSummaries",
"compute-optimizer:GetEC2InstanceRecommendations",
"compute-optimizer:GetEC2RecommendationProjectedMetrics",
"compute-optimizer:GetAutoScalingGroupRecommendations",
"compute-optimizer:GetEBSVolumeRecommendations",
"compute-optimizer:GetLambdaFunctionRecommendations",
"compute-optimizer:GetECSServiceRecommendations",
"compute-optimizer:GetECSServiceRecommendationProjectedMetrics",
"compute-optimizer:GetLicenseRecommendations",
"ec2:DescribeInstances",
"ec2:DescribeVolumes",
"ecs:ListServices",
"ecs:ListClusters",
"autoscaling:DescribeAutoScalingGroups",
"lambda:ListFunctions",
"lambda:ListProvisionedConcurrencyConfigs",
"cloudwatch:GetMetricData",
"organizations:ListAccounts",
"organizations:DescribeOrganization",
"organizations:DescribeAccount"
],
"Resource": "*"
}
]
}
```
------
**nota**
A declaração de política a seguir só concede acesso somente leitura ao Compute Optimizer para uma conta de gerenciamento de uma organização visualizar recomendações em nível organizacional. Se você for o administrador delegado e quiser ver as recomendações em nível organizacional, consulte [Políticas para conceder acesso ao Compute Optimizer para uma conta de gerenciamento de uma organização](https://docs.aws.amazon.com//compute-optimizer/latest/ug/security-iam.html#organization-account-access).
## AWS política gerenciada: ComputeOptimizerAutomationServiceRolePolicy
A política `ComputeOptimizerAutomationServiceRolePolicy` gerenciada é anexada a uma função vinculada ao serviço que permite que o Compute Optimizer implemente recomendações de otimização AWS gerenciando recursos em sua conta. Para obter mais informações, consulte [Usando funções vinculadas a serviços para AWS Compute Optimizer](using-service-linked-roles.md).
**nota**
Não é possível anexar a `ComputeOptimizerAutomationServiceRolePolicy` às entidades do IAM.
**Detalhes de permissões**
Esta política inclui as seguintes permissões:
+ `ec2:DescribeVolumes`,`ec2:DescribeSnapshots`, `ec2:DescribeVolumesModifications` — Concede acesso somente de leitura para visualizar volumes, snapshots e status de modificação de volume do Amazon EBS para fins de monitoramento e validação.
+ `ec2:ModifyVolume`, `ec2:DeleteVolume` — Permite a modificação e exclusão de volumes do Amazon EBS, mas somente para recursos que não têm a `exclude-from-compute-optimizer-automation` tag. Isso permite que você exclua recursos das ações de otimização automatizadas.
+ `ec2:CreateSnapshot`— Concede permissão para criar snapshots dos volumes do Amazon EBS para fins de backup antes de realizar ações de otimização.
+ `ec2:CreateVolume`— Permite a criação de volumes do Amazon EBS a partir de snapshots para apoiar operações de reversão caso as ações de otimização precisem ser revertidas.
+ `ec2:CreateTags`— Concede permissão para adicionar tags aos recursos do Amazon EBS para rastrear eventos de automação e manter metadados de recursos.
Para ver as permissões dessa política, consulte [ComputeOptimizerAutomationServiceRolePolicy](https://docs.aws.amazon.com/aws-managed-policy/latest/reference/ComputeOptimizerAutomationServiceRolePolicy.html)na *Referência de política AWS gerenciada*.
## Atualizações do Compute Optimizer para políticas gerenciadas AWS
Veja detalhes sobre as atualizações das políticas AWS gerenciadas do Compute Optimizer desde que esse serviço começou a rastrear essas alterações. Para obter alertas automáticos sobre alterações feitas nesta página, inscreva-se no feed RSS deste guia.
| Alteração | Descrição | Data |
| --- | --- | --- |
| Nova política `ComputeOptimizerAutomationServiceRolePolicy` gerenciada adicionada | Foi adicionada uma nova política de função `ComputeOptimizerAutomationServiceRolePolicy` vinculada ao serviço. | 19 de novembro de 2025 |
| Editar a política gerenciada da `ComputeOptimizerServiceRolePolicy` | Adição das ações `cloudwatch:DescribeAlarms`, `autoscaling:DescribePolicies` e `autoscaling:DescribeScheduledActions` à política gerenciada pela `ComputeOptimizerServiceRolePolicy`. | 9 de janeiro de 2025 |
| Editar a política gerenciada da `ComputeOptimizerReadOnlyAccess` | Adição das ações de `compute-optimizer:GetIdleRecommendations` à política gerenciada pela `ComputeOptimizerReadOnlyAccess`. | 20 de novembro de 2024 |
| Editar a política gerenciada da `ComputeOptimizerReadOnlyAccess` | Adição das ações `compute-optimizer:GetRDSDatabaseRecommendations`, `compute-optimizer:GetRDSDatabaseRecommendationProjectedMetrics`, `rds:DescribeDBInstances` e `rds:DescribeDBClusters` à política gerenciada pela `ComputeOptimizerReadOnlyAccess`. | 20 de junho de 2024 |
| Editar a política gerenciada da `ComputeOptimizerReadOnlyAccess` | Adição das ações de `compute-optimizer:GetLicenseRecommendations` à política gerenciada pela `ComputeOptimizerReadOnlyAccess`. | 26 de julho de 2023 |
| Editar a política gerenciada da `ComputeOptimizerReadOnlyAccess` | Adição das ações `compute-optimizer:GetECSServiceRecommendations`, `compute-optimizer:GetECSServiceRecommendationProjectedMetrics`, `ecs:ListServices` e `ecs:ListClusters` à política gerenciada pela `ComputeOptimizerReadOnlyAccess`. | 22 de dezembro de 2022 |
| Editar a política gerenciada da ComputeOptimizerServiceRolePolicy | Adição das ações ec2:DescribeInstances, ec2:DescribeVolumes e organizations:ListDelegatedAdministrators à política gerenciada pela ComputeOptimizerServiceRolePolicy. | 25 de julho de 2022 |
| Editar a política gerenciada da `ComputeOptimizerServiceRolePolicy` | Adição das ações `autoscaling:DescribeAutoScalingInstances` e `autoscaling:DescribeAutoScalingGroups` à política gerenciada pela `ComputeOptimizerServiceRolePolicy`. | 29 de novembro de 2021 |
| Editar a política gerenciada da `ComputeOptimizerReadOnlyAccess` | Adição das ações `compute-optimizer:GetRecommendationPreferences`, `compute-optimizer:GetEffectiveRecommendationPreferences` e `autoscaling:DescribeAutoScalingInstances` à política gerenciada pela `ComputeOptimizerReadOnlyAccess`. | 29 de novembro de 2021 |
| Editar a política gerenciada da `ComputeOptimizerReadOnlyAccess` | Adicionada a ação `GetEnrollmentStatusesForOrganization` à política gerenciada da `ComputeOptimizerReadOnlyAccess`. | 26 de agosto de 2021 |
| O Compute Optimizer começou a rastrear alterações | O Compute Optimizer começou a monitorar as mudanças em suas políticas gerenciadas AWS . | 18 de maio de 2021 |
# Usando funções vinculadas a serviços para AWS Compute Optimizer
AWS Compute Optimizer usa funções [vinculadas ao serviço AWS Identity and Access Management](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role) (IAM). A função vinculada ao serviço é um tipo exclusivo de função do IAM que está vinculada diretamente ao Compute Optimizer. As funções vinculadas a serviços são predefinidas pelo Compute Optimizer e incluem todas as permissões que o serviço requer para chamar outros em seu nome.
Com uma função vinculada ao serviço, a configuração do Compute Optimizer não exige a adição manual das permissões necessárias. O Compute Optimizer define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Compute Optimizer pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para ter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que tiverem **Sim** na coluna **Funções**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
**Topics**
+ [Permissões de perfil vinculado ao serviço para o Compute Optimizer](#slr-permissions)
+ [Permissões de perfil vinculado ao serviço](#service-linked-role-permissions)
+ [Criar uma função vinculada ao serviço para o Compute Optimizer](#create-slr)
+ [Editar uma função vinculada ao serviço para o Compute Optimizer](#edit-slr)
+ [Excluir uma função vinculada ao serviço para o Compute Optimizer](#delete-slr)
+ [Regiões com suporte a perfis vinculados ao serviço do Compute Optimizer](#slr-regions)
+ [Recursos adicionais do](#slr-resources)
## Permissões de perfil vinculado ao serviço para o Compute Optimizer
O Compute Optimizer usa a função vinculada ao serviço que é nomeada **AWSServiceRoleForComputeOptimizer**para acessar as métricas AWS da CloudWatch Amazon para recursos na conta.
A função AWSService RoleForComputeOptimizer vinculada ao serviço confia nos seguintes serviços para assumir a função:
+ `compute-optimizer.amazonaws.com`
A política de permissões da função permite que o Compute Optimizer conclua as seguintes ações nos recursos especificados:
+ Ação: `cloudwatch:GetMetricData` em todos os AWS recursos.
+ Ação: `cloudwatch:DescribeAlarms` em todos os AWS recursos.
+ Ação: `organizations:DescribeOrganization` em todos os AWS recursos.
+ Ação: `organizations:ListAccounts` em todos os AWS recursos.
+ Ação: `organizations:ListAWSServiceAccessForOrganization` em todos os recursos da AWS .
+ Ação: `organizations:ListDelegatedAdministrators` em todos os recursos da AWS .
+ Ação: `autoscaling:DescribeAutoScalingInstances` em todos os recursos da AWS .
+ Ação: `autoscaling:DescribeAutoScalingGroups` em todos os recursos da AWS .
+ Ação: `autoscaling:DescribePolicies` em todos os recursos da AWS .
+ Ação: `autoscaling:DescribeScheduledActions` em todos os recursos da AWS .
+ Ação: `ec2:DescribeInstances` em todos os recursos da AWS .
+ Ação: `ec2:DescribeSnapshots` em todos os recursos da AWS .
+ Ação: `ec2:DescribeVolumesModifications` em todos os recursos da AWS .
+ Ação: `ec2:CreateVolume` em todos os recursos da AWS .
+ Ação: `ec2:ModifyVolume` em todos os recursos da AWS .
+ Ação: `ec2:DeleteVolume` em todos os recursos da AWS .
+ Ação: `ec2:CreateSnapshot` em todos os recursos da AWS .
+ Ação: `ec2:createTags` em todos os recursos da AWS .
## Permissões de perfil vinculado ao serviço
Para criar uma função vinculada ao serviço para o Compute Optimizer, configure permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie uma função vinculada ao serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
**Para permitir que uma entidade do IAM crie uma função vinculada ao serviço para o Compute Optimizer**
Adicione a seguinte política à entidade do IAM que precisa criar a função vinculada ao serviço.
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
}
]
}
```
------
------
#### [ JSON ]
****
```
{
"Version":"2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer*",
"Condition": {"StringLike": {"iam:AWSServiceName": "compute-optimizer.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws-cn:iam::*:role/aws-service-role/compute-optimizer.amazonaws.com/AWSServiceRoleForComputeOptimizer"
},
{
"Effect": "Allow",
"Action": "compute-optimizer:UpdateEnrollmentStatus",
"Resource": "*"
},
{
"Effect": "Allow",
"Action": "organizations:DescribeOrganization",
"Resource": "*"
}
]
}
```
------
**Para permitir que uma entidade do IAM crie qualquer função vinculada ao serviço**
Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa criar uma função vinculada ao serviço ou qualquer função de serviço que inclua as políticas necessárias. Esta política anexa uma política à função.
```
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/*"
}
```
**Para permitir que o Compute Optimizer execute as ações recomendadas em nome dos clientes**
Adicione uma declaração à política de permissões da entidade do IAM que precisa criar uma função vinculada ao serviço ou de qualquer função de serviço que inclua as políticas necessárias. Esta política anexa uma política à função. Para obter mais informações, consulte [AWS política gerenciada: ComputeOptimizerAutomationServiceRolePolicy](managed-policies.md#security-iam-awsmanpol-ComputeOptimizerAutomationServiceRolePolicy) na página de políticas gerenciadas.
## Criar uma função vinculada ao serviço para o Compute Optimizer
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você opta pelo serviço Compute Optimizer na, na ou na API, Console de gerenciamento da AWS AWS CLI o Compute Optimizer AWS cria a função vinculada ao serviço para você.
**Importante**
Essa função vinculada ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com essa função. Para obter mais informações, consulte [Uma novo perfil apareceu na minha conta do IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/troubleshoot_roles.html#troubleshoot_roles_new-role-appeared).
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você aceita usar o serviço Compute Optimizer, ele cria a função vinculada ao serviço para você novamente.
## Editar uma função vinculada ao serviço para o Compute Optimizer
O Compute Optimizer não permite que você edite AWSService RoleForComputeOptimizer a função vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluir uma função vinculada ao serviço para o Compute Optimizer
Recomendamos que, se você não precisar mais usar o Compute Optimizer, AWSService RoleForComputeOptimizer exclua a função vinculada ao serviço. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ou mantida ativamente. Porém, para poder excluir manualmente a função vinculada ao serviço, você deve remover o Compute Optimizer.
**Para remover o Compute Optimizer**
Para obter informações sobre como remover o Compute Optimizer, consulte [Para rejeitar o Compute Optimizer](account-opt-out.md).
**Como excluir manualmente o perfil vinculado ao serviço usando o IAM**
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForComputeOptimizer vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões com suporte a perfis vinculados ao serviço do Compute Optimizer
O Compute Optimizer oferece suporte a funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para ver as Regiões da AWS e os endpoints atualmente aceitos do Compute Optimizer, consulte [Endpoints e cotas do Compute Optimizer](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html) na *Referência geral da AWS *.
## Recursos adicionais do
+ Solução de problemas: [Solução de problemas no Compute Optimizer](troubleshooting-account-opt-in.md)
+ [AWS políticas gerenciadas para AWS Compute Optimizer](managed-policies.md)
+ [Optando por AWS Compute Optimizer](account-opt-in.md)
+ [Identity and Access Management para AWS Compute Optimizer](security-iam.md)
# Usando funções vinculadas a serviços para automação
AWS Compute Optimizer usa [funções vinculadas ao serviço AWS Identity and Access Management (IAM) nomeadas](https://docs.aws.amazon.com/IAM/latest/UserGuide/id_roles_terms-and-concepts.html#iam-term-service-linked-role). AWSService RoleForComputeOptimizerAutomation Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente à Automação do Compute Optimizer. As funções vinculadas ao serviço são predefinidas pela Automação do Compute Optimizer e incluem todas as permissões que o serviço exige para ligar para outras pessoas em seu nome.
Com uma função vinculada ao serviço, a configuração do Compute Optimizer Automation não exige a adição manual das permissões necessárias. A Automação do Compute Optimizer define as permissões de suas funções vinculadas ao serviço e, a menos que seja definido de outra forma, somente a Automação do Compute Optimizer pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para ter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte [Serviços da AWS que funcionam com o IAM](https://docs.aws.amazon.com/IAM/latest/UserGuide/reference_aws-services-that-work-with-iam.html) e procure os serviços que tiverem **Sim** na coluna **Funções**. Escolha um **Sim** com um link para visualizar a documentação do perfil vinculado para esse serviço.
**Topics**
+ [Permissões de função vinculadas ao serviço para o Compute Optimizer Automation](#slr-permissions-automation)
+ [Permissões de perfil vinculado ao serviço](#service-linked-role-permissions-automation)
+ [Criação de uma função vinculada ao serviço para a automação do Compute Optimizer](#create-slr-automation)
+ [Editando uma função vinculada ao serviço para a automação do Compute Optimizer](#edit-slr-automation)
+ [Excluindo uma função vinculada ao serviço para a automação do Compute Optimizer](#delete-slr-automation)
+ [Regiões suportadas para funções vinculadas ao serviço do Compute Optimizer Automation](#slr-regions)
## Permissões de função vinculadas ao serviço para o Compute Optimizer Automation
A Automação do Otimizador de Computação usa a função vinculada ao serviço que é **AWSServiceRoleForComputeOptimizerAutomation**nomeada, que permite o acesso AWS aos serviços e recursos usados ou gerenciados pela Automação do Otimizador de Computação. Essa função vinculada ao serviço permite que o Compute Optimizer Automation implemente recomendações de otimização executando tarefas como criar, modificar e excluir recursos por meio de outros serviços. AWS
A função AWSService RoleForComputeOptimizerAutomation vinculada ao serviço confia nos `aco-automation.amazonaws.com` serviços para assumir a função.
O perfil vinculado ao serviço `AWSServiceRoleForComputeOptimizerAutomation` usa a política gerenciada `AWSComputeOptimizerAutomationRolePolicy`.
## Permissões de perfil vinculado ao serviço
Para criar uma função vinculada ao serviço para o Compute Optimizer Automation, configure as permissões para permitir que uma entidade do IAM (como um usuário, grupo ou função) crie a função vinculada ao serviço. Para saber mais, consulte [Permissões de Função Vinculadas ao Serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#service-linked-role-permissions) no *Guia do Usuário do IAM*.
Adicione a seguinte política à entidade do IAM que precisa criar a função vinculada ao serviço.
```
{
"Version": "2012-10-17",
"Statement": [
{
"Effect": "Allow",
"Action": "iam:CreateServiceLinkedRole",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation",
"Condition": {"StringLike": {"iam:AWSServiceName": "aco-automation.amazonaws.com"}}
},
{
"Effect": "Allow",
"Action": "iam:PutRolePolicy",
"Resource": "arn:aws:iam::*:role/aws-service-role/aco-automation.amazonaws.com/AWSServiceRoleForComputeOptimizerAutomation"
}
]
}
```
## Criação de uma função vinculada ao serviço para a automação do Compute Optimizer
A função AWSService RoleForComputeOptimizerAutomation vinculada ao serviço é criada automaticamente quando você ativa a Automação do Compute Optimizer. Você pode habilitar o AWSService RoleForComputeOptimizerAutomation manualmente na API do IAM AWS CLI ou na API.
A função vinculada ao serviço criada para uma conta de gerenciamento do Compute Optimizer Automation não se aplica às contas dos membros. A Automação do Compute Optimizer cria uma função separada vinculada ao serviço para cada conta quando o recurso é ativado. Quando uma conta de gerenciamento habilita a Automação para uma conta de membro, a Automação do Compute Optimizer cria a função vinculada ao serviço sob demanda na primeira vez em que implementa uma ação recomendada para essa conta. Isso ocorre quando a conta de gerenciamento ou a conta do membro inicia a ação diretamente ou quando uma regra de automação executa uma ação para essa conta do membro.
## Editando uma função vinculada ao serviço para a automação do Compute Optimizer
A Automação do Compute Optimizer não permite que você edite AWSService RoleForComputeOptimizerAutomation a função vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para saber mais, consulte [Editar uma função vinculada a serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#edit-service-linked-role) no *Guia do usuário do IAM*.
## Excluindo uma função vinculada ao serviço para a automação do Compute Optimizer
Se você não precisar mais usar um recurso ou serviço que requer uma função vinculada a serviço, é recomendável excluí-la. Dessa forma, você não terá uma entidade não utilizada e não monitorada ativamente ou mantida.
Quando você desativa a Automação do Compute Optimizer, a Automação do Compute Optimizer não exclui automaticamente a função vinculada ao serviço para você. AWSService RoleForComputeOptimizerAutomation Se você ativar a Automação do Compute Optimizer novamente, o serviço poderá começar a usar novamente a função vinculada ao serviço existente. Se você não precisar mais usar a Automação do Compute Optimizer, poderá excluir manualmente a função vinculada ao serviço.
**Importante**
Antes de excluir a função AWSService RoleForComputeOptimizerAutomation vinculada ao serviço, você deve primeiro desativar a Automação do Compute Optimizer. Se a Automação do Compute Optimizer não estiver desativada quando você tentar excluir a função vinculada ao serviço, a exclusão falhará.
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSService RoleForComputeOptimizerAutomation vinculada ao serviço. Para saber mais, consulte [Excluir um perfil vinculado ao serviço](https://docs.aws.amazon.com/IAM/latest/UserGuide/using-service-linked-roles.html#delete-service-linked-role) no *Guia do usuário do IAM*.
## Regiões suportadas para funções vinculadas ao serviço do Compute Optimizer Automation
A Automação do Compute Optimizer suporta o uso de funções vinculadas a serviços em todas as regiões em que o serviço está disponível. *Para ver os endpoints Regiões da AWS e os endpoints atualmente suportados pelo Compute Optimizer, consulte Endpoints e cotas do Compute [Optimizer na Referência](https://docs.aws.amazon.com/general/latest/gr/compute-optimizer.html) geral.AWS *