As traduções são geradas por tradução automática. Em caso de conflito entre o conteúdo da tradução e da versão original em inglês, a versão em inglês prevalecerá.
Usando funções vinculadas a serviços para AWS Compute Optimizer
AWS Compute Optimizer usa funções vinculadas ao serviço AWS Identity and Access Management (IAM). Uma função vinculada ao serviço é um tipo exclusivo de função do IAM vinculada diretamente ao Compute Optimizer. Service-linked as funções são predefinidas pelo Compute Optimizer e incluem todas as permissões que o serviço exige para ligar para outras pessoas em seu nome.
Com uma função vinculada ao serviço, a configuração do Compute Optimizer não exige a adição manual das permissões necessárias. O Compute Optimizer define as permissões das funções vinculadas ao serviço e, exceto se definido de outra forma, somente o Compute Optimizer pode assumir suas funções. As permissões definidas incluem a política de confiança e a política de permissões, que não pode ser anexada a nenhuma outra entidade do IAM.
Para ter informações sobre outros serviços compatíveis com perfis vinculados ao serviço, consulte Serviços da AWS que funcionam com o IAM e procure os serviços que tiverem Sim na coluna Funções. Escolha um Sim com um link para visualizar a documentação do perfil vinculado para esse serviço.
Tópicos
Service-linked permissões de função para o Compute Optimizer
O Compute Optimizer usa a função vinculada ao serviço que é nomeada AWSServiceRoleForComputeOptimizerpara acessar as métricas AWS da CloudWatch Amazon para recursos na conta.
A função AWSServiceRoleForComputeOptimizer vinculada ao serviço confia nos seguintes serviços para assumir a função:
-
compute-optimizer.amazonaws.com
A política de permissões da função permite que o Compute Optimizer conclua as seguintes ações nos recursos especificados:
-
Ação:
cloudwatch:GetMetricDataem todos os AWS recursos. -
Ação:
cloudwatch:DescribeAlarmsem todos os AWS recursos. -
Ação:
organizations:DescribeOrganizationem todos os AWS recursos. -
Ação:
organizations:ListAccountsem todos os AWS recursos. -
Ação:
organizations:ListAWSServiceAccessForOrganizationem todos os recursos da AWS . -
Ação:
organizations:ListDelegatedAdministratorsem todos os recursos da AWS . -
Ação:
autoscaling:DescribeAutoScalingInstancesem todos os recursos da AWS . -
Ação:
autoscaling:DescribeAutoScalingGroupsem todos os recursos da AWS . -
Ação:
autoscaling:DescribePoliciesem todos os recursos da AWS . -
Ação:
autoscaling:DescribeScheduledActionsem todos os recursos da AWS . -
Ação:
ec2:DescribeInstancesem todos os recursos da AWS . -
Ação:
ec2:DescribeSnapshotsem todos os recursos da AWS . -
Ação:
ec2:DescribeVolumesModificationsem todos os recursos da AWS . -
Ação:
ec2:CreateVolumeem todos os recursos da AWS . -
Ação:
ec2:ModifyVolumeem todos os recursos da AWS . -
Ação:
ec2:DeleteVolumeem todos os recursos da AWS . -
Ação:
ec2:CreateSnapshotem todos os recursos da AWS . -
Ação:
ec2:createTagsem todos os recursos da AWS . -
Ação:
ec2:DescribeNatGatewaysem todos os AWS recursos. -
Ação:
ec2:DescribeRouteTablesem todos os AWS recursos. -
Ação:
elasticache:DescribeCacheClustersem todos os AWS recursos. -
Ação:
elasticache:DescribeServerlessCachesem todos os AWS recursos. -
Ação:
memorydb:DescribeClustersem todos os AWS recursos. -
Ação:
rds:DescribeDBClustersem todos os AWS recursos. -
Ação:
dynamodb:ListTablesem todos os AWS recursos. -
Ação:
dynamodb:DescribeTableem todos os AWS recursos. -
Ação:
workspaces:DescribeWorkspacesem todos os AWS recursos. -
Ação:
workspaces:DescribeWorkspacesConnectionStatusem todos os AWS recursos. -
Ação:
sagemaker:ListEndpointsem todos os AWS recursos. -
Ação:
sagemaker:DescribeEndpointem todos os AWS recursos.
Service-linked permissões de função
Para criar uma função vinculada ao serviço para o Compute Optimizer, configure permissões para que uma entidade do IAM (por exemplo, um usuário, grupo ou função) crie uma função vinculada ao serviço. Para obter mais informações, consulte Permissões de Service-Linked função no Guia do usuário do IAM.
Para permitir que uma entidade do IAM crie uma função vinculada ao serviço para o Compute Optimizer
Adicione a seguinte política à entidade do IAM que precisa criar a função vinculada ao serviço.
Para permitir que uma entidade do IAM crie qualquer função vinculada ao serviço
Adicione a seguinte instrução à política de permissões da entidade do IAM que precisa criar uma função vinculada ao serviço ou qualquer função de serviço que inclua as políticas necessárias. Esta política anexa uma política à função.
{ "Effect": "Allow", "Action": "iam:CreateServiceLinkedRole", "Resource": "arn:aws:iam::*:role/aws-service-role/*" }
Para permitir que o Compute Optimizer execute as ações recomendadas em nome dos clientes
Adicione uma declaração à política de permissões da entidade do IAM que precisa criar uma função vinculada ao serviço ou de qualquer função de serviço que inclua as políticas necessárias. Esta política anexa uma política à função. Para obter mais informações, consulte AWS política gerenciada: ComputeOptimizerAutomationServiceRolePolicy na página de políticas gerenciadas.
Criando uma Service-Linked função para o Compute Optimizer
Não é necessário criar manualmente um perfil vinculado ao serviço. Quando você opta pelo serviço Compute Optimizer na, na ou na API, Console de gerenciamento da AWS AWS CLI o Compute Optimizer AWS cria a função vinculada ao serviço para você.
Importante
Essa função vinculada ao serviço pode aparecer em sua conta se você concluiu uma ação em outro serviço que usa os atributos compatíveis com essa função. Para obter mais informações, consulte Uma novo perfil apareceu na minha conta do IAM.
Se excluir esse perfil vinculado ao serviço e precisar criá-lo novamente, será possível usar esse mesmo processo para recriar o perfil em sua conta. Quando você aceita usar o serviço Compute Optimizer, ele cria a função vinculada ao serviço para você novamente.
Editando uma Service-Linked função para o Compute Optimizer
O Compute Optimizer não permite que você edite AWSServiceRoleForComputeOptimizer a função vinculada ao serviço. Depois que você criar um perfil vinculado ao serviço, não poderá alterar o nome do perfil, pois várias entidades podem fazer referência ao perfil. No entanto, você poderá editar a descrição do perfil usando o IAM. Para obter mais informações, consulte Edição de uma Service-Linked função no Guia do usuário do IAM.
Excluindo uma Service-Linked função do Compute Optimizer
Recomendamos que, se você não precisar mais usar o Compute Optimizer, AWSServiceRoleForComputeOptimizer exclua a função vinculada ao serviço. Dessa forma, você não terá uma entidade não utilizada que não seja monitorada ou mantida ativamente. Porém, para poder excluir manualmente a função vinculada ao serviço, você deve remover o Compute Optimizer.
Para remover o Compute Optimizer
Para obter informações sobre como remover o Compute Optimizer, consulte Para rejeitar o Compute Optimizer.
Como excluir manualmente o perfil vinculado ao serviço usando o IAM
Use o console do IAM AWS CLI, o ou a AWS API para excluir a função AWSServiceRoleForComputeOptimizer vinculada ao serviço. Para obter mais informações, consulte Excluir uma Service-Linked função no Guia do usuário do IAM.
Regiões com suporte a perfis vinculados ao serviço do Compute Optimizer
O Compute Optimizer oferece suporte a funções vinculadas ao serviço em todas as regiões em que o serviço está disponível. Para ver as Regiões da AWS e os endpoints atualmente aceitos do Compute Optimizer, consulte Endpoints e cotas do Compute Optimizer na Referência geral da AWS .
Recursos adicionais do
